Après l'attaque terroriste de San Bernardino (Californie) qui fit 14 victimes en décembre 2015, le FBI mit la main sur l'iPhone d'un djihadiste et demanda à Apple d'accéder aux contenus chiffrés du smartphone. Mais la firme à la pomme refusa au nom de la protection des données personnelles de ses clients. Entre dilemmes cornéliens et pièges abscons dans une ambiance claire-obscure, décryptons passablement ce judiciaire et médiatique entre le Bureau et la Firme.
L'hypocrisie ou la schizophrénie des Fédéraux. Quelques années plus tôt, les administrations américaines (et européennes) critiquaient régulièrement l'absence ou l'insuffisance des solutions d'infosécurité et de chiffrement intégrées aux produits / services commerciaux. Les données personnelles ou sensibles étaient des proies faciles pour les cybercriminels de tout poil et pour les hackers chinois ou russes. De nombreuses firmes technologiques telles qu'Apple ont hissé la barre et sont aujourd'hui accusées par ce même gouvernement de faire obstruction aux enquêtes légales avec des solutions de chiffrement plus solides... ou de s'entêter dans leurs stratégies marketing.
Le choc des volontés. Apple est une firme multi-milliardaire côtée en bourse qui vend chaque année des millions produits / services technologiques dans le monde. Le FBI est une autorité fédérale de police judiciaire et un service de renseignement sur le territoire américain. L'une est d'abord et surtout soucieuse de ses clients, l'autre est très à cheval sur ses investigations.
La confiance des utilisateurs et des marchés. Depuis l'affaire Snowden , bon nombre de gouvernements et d'entreprises ont banni les applications made in USA, se sont rués vers les solutions open source ou les produits / services concurrents et ont durci leurs législations sur la circulation / rétention des données. L'industrie technologique américaine craint qu'une victoire du Bureau contre la Firme soit l'uppercut de trop. Ce n'est guère un hasard si Microsoft, Google, Facebook, Amazon, Twitter, Facebook et la Silicon Valley se soient rangées aux côtés d'Apple.
Les abus officieusement officiels. Aux Etats-Unis, au Royaume-Uni et ailleurs, les polices affectionnent particulièrement la technologie de surveillance télécoms , sans mandat ni autorisation judiciaire. En France, les relais GSM et les DSLAM seront très probablement reconvertis en auxiliaires de police des ondes. Encourageant ?
La jurisprudence. Le FBI jure par tous les octets qu'Apple sera sommée pour cette seule et unique occasion de développer une application lourde et complexe spécifiquement conçue pour craquer le chiffrement de l'iPhone 5C du terroriste. Mais le Bureau a déjà accumulé une dizaine de requêtes similaires (en attente) auprès des tribunaux américains. Pour peu que la Firme cède, la jurisprudence s'en donnerait aussitôt à cœur joie...
La lourdeur, la complexité et les risques. Le développement de cette application très spécifique revient à concevoir un système d'exploitation complet surnommé FBIOS ou GovtOS. Selon la Firme , il faudrait " six à dix ingénieurs et employés d'Apple consacrant une grande partie de leur emploi du temps pendant un minimum de deux semaines, probablement quatre semaines au total "... c-à-d un un chef de projet, une équipe d'ingénieurs logiciels maîtrisant parfaitement iOS et la cryptographie, un ingénieur en contrôle / assurance qualité, un ou plusieurs rédacteurs de documentation technique. Une fois conçue, l'application devrait être certifiée (à reculons) par la Firme, puis testée dans des locaux isolés et sécurisés qui ne nuiraient ni à l'enquête, ni à sa routine... en compagnie des experts en informatique légale du FBI. Vaste programme.
D'ores et déjà, une sourde rébellion prend forme au sein d'Apple. Selon le New York Times, de nombreux ingénieurs logiciels (sous anonymat) menacent de démissionner et/ou de désobéir au cas où la Firme serait forcée par la justice de développer un GovtOS.
" Au cas où ces employés seraient identifiés, ils pourraient devenir des cibles de représailles, de coercition ou de menaces similaires par de mauvais acteurs qui cherchent à obtenir et utiliser GovtOS à des fins malveillantes [...] Je comprends que ces risques soient une raison pour laquelle les agences de renseignement protègent souvent les noms et les fonctions des personnes ayant accès à des données et informations très sensibles ", avait déclaré sous serment Erik Neuenschwander, directeur sécurité produits de la Firme à un tribunal californien.
La boîte de Pandore. Le gouvernement fédéral est régulièrement victime de pertes de supports numériques (CDVD-ROM, clés USB), d'intrusions et de cyberattaques visant ses données sensibles (identités des agents fédéraux, numéros de sécurité sociale, etc). Selon Apple, le développement d'une application de déchiffrement exclusivement dédiée à une enquête particulière du FBI ne garantit guère que cette application ne tombe entre de mauvaises mains et soit sujette à une rétro-ingénierie et/ou à une dérivation à des fins moins louables.
" Le monde virtuel n'est pas comme le monde physique. Quand vous détruisez quelque chose dans le monde physique, l'effort nécessaire pour le recréer est à peu près équivalent à l'effort nécessaire pour le créer en premier lieu. Lorsque vous créez quelque chose dans le monde virtuel, le processus de création d'une copie parfaite et exacte est aussi simple qu'une frappe sur la touche d'un d'ordinateur parce que le code sous-jacent subsiste. " ()
Aléas, CALEA. Voté en 1994 par le Congrès après d'intenses négociations, le Communications Assistance for Law Enforcement Act (CALEA) est le cadre légal définissant l'assistance des sociétés informatiques / télécoms aux autorités. Selon du CALEA, " " le gouvernement fédéral ne peut exiger la conception spécifique d'un équipement, de matériel, de services, de caractéristiques ou de configurations à un fabricant de téléphone.
À l'ère Clinton c-à-d aux débuts de l'Internet grand public, le Congrès avait choisi de ne pas introduire une disposition forçant les entreprises technologiques à fournir leur assistance aux autorités pour accéder aux données stockées sur un terminal. Corollairement, le gouvernement fédéral ne peut ordonner à un fabricant d'intégrer un élément nouveau - comme une porte dérobée - dans ses produits / services dès leur diffusion / commercialisation.
À l'ère du djihad crypté pour iPhone / Android, le FBI et le Département de la Justice préfèrent que le CALEA évoque une soi-disante plante exotique plutôt qu'une barrière légale... et invoquent l' All Writs Act (AWA), amendement datant de 1789 et conférant un pouvoir illimité à toute autorité fédérale pourvu d'un mandat de perquisition.
La Loi contre l'Ordre. Forte d'avocats chevronnés et certainement très bien rémunérés, la Firme a d'abord vivement contesté l'invocation de l'AWA, estimant qu'elle n'est pas concernée par l'affaire San Bernardino, condition préalable à toute assistance d'une entreprise aux autorités : " Apple n'est pas plus connectée à ce téléphone que General Motors l'est à un véhicule professionnel utilisé par un fraudeur sur son trajet quotidien. " Ensuite, elle a invoqué le premier amendement sur la liberté d'expression car les tribunaux américains considèrent le code informatique comme une forme de langage (" "), et le cinquième amendement empêchant toute personne de s'incriminer. code is speech
Selon le professeur de droit numérique Albert Gidari dans le blog CIS Stanford Law School , le FBI use d'arguments fallacieux et d'un amendement datant de la révolution française : le CALEA est un coup d'arrêt ferme, catégorique et définitif aux desseins du Bureau.
Surpressions judiciaires et administratives. Les entreprises technologiques aux requêtes et aux injonctions du FBI ou du Département de la Justice par l'entremise discrète du FISA et livrent "volontiers" leurs codes sources. Tout va bien tant que les clients et les partenaires ne se doutent de rien ou en savent le moins possible.
Aux Etats-Unis, le FISA est la terreur des start-up et des firmes technologiques : " Le Foreign Intelligence Surveillance Court est une cour fédérale américaine créée par la loi Foreign Intelligence Surveillance Act de 1978 pour superviser les demandes de mandats autorisant la surveillance, par les agences fédérales judiciaires américaines (FBI, NSA), de présumés agents de renseignement étrangers sur le sol américain. [...] Ses pouvoirs ont évolué et se sont élargis au point qu'elle est parfois appelée "la Cour suprême parallèle". Contrairement aux autres cours fédérales américaines, ses activités ne sont pas analysées par une partie adverse et son interprétation de la loi est une information secrète classifiée pendant 30 ans. " ()
En 2013, la firme Lavabit, spécialisée dans des solutions webmail sécurisées ( utilisées par Edward Snowden avant ses années russes) avait préféré mettre la clé sous la porte plutôt que céder au Département de la Justice via le FISA... qui fut une pierre angulaire du fameux programme de surveillance (vive la NSA !). Le Bureau aurait-il opté pour une approche plus rude et plus tonitruante contre la puissante Firme ?
Guerre psychologique. En réalité, le Bureau n'est guère en quête d'une preuve mais d'un précédent judiciaire ensuite " prêt-à-réchauffer " dans d'autres circonstances. D'où une confrontation médiatique avec Apple qui serait progressivement soumise à un dilemme cornélien : coopérer avec le FBI ou passer pour une complice passive du terrorisme aux yeux de l'opinion américaine.
Le Léviathan global. La cybersécurité de l'iPhone est loin d'être infaillible mais des myriades de mobinautes - a fortiori dans les régimes politiques plus ou moins " durs " - l'apprécient grandement pour ses solutions conviviales et intuitives de chiffrement des données personnelles.
Auparavant, de nombreux gouvernements du Moyen-Orient et d'Asie avaient exigé que la firme canadienne Blackberry, réputée pour ses solutions télécoms de chiffrement, installe des serveurs locaux afin de faciliter les enquêtes anti-terroristes. Aujourd'hui, les polices et les justices d'Europe, de Russie, de Chine, d'Iran, d'Arabie Saoudite, d'Inde et consort ont hâte d'une conclusion judiciaire favorable au FBI qui leur donnera du grain à moudre face à Apple en cas de besoin.
L'Empire du Milieu. La Chine représente plus du quart du chiffre d'affaires d'Apple... qui a tout de même consenti aux audits de sécurité du gouvernement chinois sur ses produits / services mais " n'a jamais crée de portes dérobées, ni livré de code source et encore moins développé un système d'accès personnalisé comme celui demandé par le FBI ", selon une déclaration sous serment de Craig Federighi, directeur logiciels de la Firme.
En effet, Apple est nécessairement confrontée à la nature particulière du Web chinois - tant sur le plan technique que légal - qui laisse très peu de marges aux solutions d'infosécurité et de chiffrement. Le gouvernement chinois accède à volonté à tous les services en ligne utilisés par les détenteurs d'iPhone / iPad (et d'autres technologies made in USA / made in China), exerce un filtrage et une surveillance hautement paranoïaques de son Web et n'a donc pas forcément besoin d'accéder à un terminal spécifique (smartphone, tablette, ordinateur) pour satisfaire sa curiosité. Google, Microsoft, Yahoo!, Facebook, Amazon et compagnie, pourtant impatientes de s'implanter plus profondément dans ce juteux marché chinois, reculent ou pataugent à cause de ces sulfureux compromis avec Pékin.
Aigle royal et Dragon rouge. Un malheur ne venant jamais seul, le directeur du FBI James Comey s'est rendu en mi-mars à Pékin et a rencontré le ministre de la sécurité publique Guo Shengkoun afin de " renforcer l'application de la loi et la coopération sécuritaire ", notamment contre le cybercrime organisé. Ainsi, le gouvernement fédéral et la république populaire se retrouvent sur la même longueur d'onde pour des raisons différentes et mettent la pression sur la firme à la pomme afin qu'elle dévoile son Graal.
Le Bureau aurait-il obtenu en catimini quelque élément à charge contre la Firme - en vue de l'imminent procès San Bernardino - dans son aventure chinoise ? Les paris sont ouverts.
Obamacare. Résumons et caricaturons l'avertissement plutôt pertinent de 44 th à la Silicon Valley dans une intervention au festival SXSW 2016 (médias & technologie) : " Dites, les technos... Vous ferez bien de vous arranger avec le FBI avant qu'il ne soit trop tard. Un jour ou l'autre, une tragédie similaire se produira, le Congrès prendra les choses en main et votera un amendement orwellien que vous n'aimerez pas. "
Au fait, où est la NSA ? Le FBI n'est certainement pas dépourvu d'astuces permettant de craquer le chiffrement particulièrement sophistiqué de l''iPhone5 / iOS 8 et des versions successives mais leur efficacité n'est pas garantie . Elle ne peut se tourner vers la National Security Agency qui n'est pas une autorité fédérale de police judiciaire - tenue de tout expliquer / révéler dans un tribunal - mais un service de renseignement électronique à l'échelle planétaire qui agit clandestinement et veille jalousement au secret de ses opérations et de ses capacités tous azimuts. En bref, les gars et filles du Bureau sont des fédéraux, ceux et celles de l'Agence sont des espions.