Face à Londres, Apple fait marche arrière sur le chiffrement

Au Royaume-Uni, c'en est fini de la protection avancée des données pour iCloud.

Par rapport à la protection dite standard, elle élargit le nombre de catégories de données chiffrées de bout en bout. Pour inclure, notamment, les sauvegardes d'appareils et de messages, les photos, les notes et les mémos vocaux. Apple l'avait déployée à l'échelle mondiale entre fin 2022 et début 2023.

Désormais, les nouveaux utilisateurs au Royaume-Uni ne peuvent plus l'activer. Les autres devront la désactiver "à l'avenir".

La possibilité d'une backdoor mondiale

Le scénario s'était profilé ces dernières semaines, à la suite d'une demande du gouvernement britannique. Celui-ci avait, dans les grandes lignes, exigé de pouvoir accéder à tout backup iCloud, sans limite géographique.

Cette demande se fonde, en particulier, sur l'Investigatory Powers Act de 2016. Plus précisément sur la version en vigueur depuis septembre 2024. Le texte a effectivement fait l'objet d'une réforme qui lui a, entre autres, conféré une dimension extraterritoriale.

Apple avait ouvertement milité contre cette réforme. Il considérait qu'elle donnait à Londres un pouvoir de surveillance sans précédent, traduit par la possibilité de forcer des fournisseurs de services de communication électronique - y compris ceux n'ayant pas d'utilisateurs au UK - à casser tout chiffrement sans supervision et sans en avertir le public.

Apple invoque la "jurisprudence Telegram"

Apple avait par ailleurs pointé une incompatibilité avec un jugement que la Cour européenne des droits de l'homme avait rendu début 2024. Le plaignant, un citoyen russe, utilisait Telegram lorsqu'en 2017, Moscou obligea le service de messagerie à conserver les communications (6 mois pour les contenus, 1 an pour les métadonnées) et à les tenir à disposition des autorités.

Cette même année, Telegram avait reçu une demande de "divulgation d'informations techniques" de la part du FSB. Son objet : des communications d'utilisateurs suspectés d'activités terroristes. La demande portait sur six numéros de téléphone, pour lesquels il fallait fournir des adresses IP, des ports TCP/UPD... et les "données associées aux clés de chiffrement". Telegram avait refusé. Motif : c'était techniquement impossible sans créer de backdoor affaiblissant le chiffrement pour tous. Allée en justice, l'affaire avait abouti, en 2018, au blocage - plus théorique que pratique - de la messagerie en Russie.
La CEDH a jugé que la demande du Kremlin allait à l'encontre du droit à la vie privée inscrit à l'article 8 de la Convention européenne des droits de l'homme. Un texte dont la Russie est signataire ; au même titre, d'ailleurs, que le Royaume-Uni.

Quant à la demande de Londres, Apple peut faire appel auprès d'un comité technique puis d'un juge, mais pas en retarder l'implémentation.

Illustration principale © KanawatTH - Adobe Stock