Le FBI a forcé Apple à ne pas crypter les sauvegardes iCloud

En pleine affaire du déverrouillage des deux iPhone du tueur de Pensacola en Floride, Apple avait publié un rapport de transparence sur ses pratiques en matière de sécurité et de vie privée. Mais une nouvelle information vient mettre à mal une partie des arguments tendances d'Apple. Reuters vient d'affirmer aujourd'hui qu'Apple s'était incliné sous la pression du Bureau fédéral d'investigation (FBI), qui aurait exigé que la firme de Cupertino abandonne son intention de déployer un cryptage de bout en bout pour les sauvegardes des appareils sur iCloud, affirmant que cela nuirait aux enquêtes.

Apple aurait cédé au FBI sur le chiffrement des sauvegardes iCloud

Bien qu'Apple ait résisté aux pressions du FBI qui, en 2016, souhaitait qu'il ajoute une porte dérobée à iOS pour contourner le code qui limite les tentatives de mot de passe à dix tentatives consécutives, il n'a jamais utilisé de chiffrement de bout en bout pour les sauvegardes d'appareils iOS dans iCloud, et nous savons désormais pourquoi.

Le renversement du géant de la technologie, il y a environ deux ans, n'a jamais été signalé auparavant. Il montre à quel point Apple est prêt à aider les agences américaines d'application de la loi et de renseignement, malgré une ligne plus dure dans les litiges juridiques de grande envergure avec le gouvernement et se présentant comme un défenseur des informations de ses clients.

Selon un ancien employé d'Apple, le géant de la technologie de Cupertino était motivé pour éviter les mauvaises relations publiques et ne voulait pas être dépeint par les fonctionnaires comme une entreprise qui protège les criminels.

Apple aurait en effet abandonné les projets Plesio et KeyDrop liés au chiffrement iCloud, il y a deux ans.

Abstenez-vous d'utiliser la fonction de sauvegarde iCloud jusqu'à ce qu'Apple déploie un chiffrement de bout en bout


Apple admet ouvertement avoir fourni des sauvegardes d'appareils iOS à partir d'iCloud aux agences d'application de la loi, selon le dernier rapport de transparence de l'entreprise qu'on a relayé il y a quelques jours :

Apple reçoit régulièrement des demandes multi-appareils liées à des enquêtes sur les fraudes. Les demandes basées sur l'appareil recherchent généralement les détails des clients associés aux appareils ou aux connexions d'appareils aux services Apple.

Si Apple devait chiffre les sauvegardes d'appareils iOS dans iCloud, cela ajouterait une complexité énorme pour les pirates et autres personnes ayant accès aux serveurs, puisqu'il faudrait une clé en plus du mot de passe utilisateur. Et le FBI aurait également mis son veto pour des questions de sécurité nationale.

Par exemple, alors que le service iMessage est chiffré de bout en bout, les conversations stockées dans une sauvegarde iCloud ne le sont pas.
En d'autres termes, même si la fonction Messages dans iCloud qui garde votre messagerie synchronisée entre les appareils utilise est sécurisée, elle n'a aucun sens si vous activez la sauvegarde iCloud. Selon Apple, cela vous permet de récupérer vos messages si vous perdez l'accès au trousseau iCloud et à tous les appareils de confiance en votre possession. 

De plus, Apple utilise le chiffrement de bout en bout iCloud de manière sélective pour des éléments tels que vos entrées d'agenda, la base de données Santé, le trousseau iCloud et les mots de passe Wi-Fi enregistrés, mais pas vos photos, les fichiers de votre lecteur iCloud, les e-mails et autres catégories. D'où l'analyse de vos photos pour dénicher des déviances.

Le déverrouillage forcé

Il y a aussi le périphérique GrayKey utilisé pour les enquêtes à haute importance où l'iPhone du criminel est verrouillé par un mot de passe. Le boitier utilisé par le FBI dans certaines affaires.

Cela ne signifie pas que les derniers iPhones d'Apple sont intrinsèquement non sécurisés ou sujets au piratage avec des outils tels que l'appareil GrayShift ou le logiciel Cellebrite, cela signifie simplement que iOS peut être piraté. C'est ce que font les hackers pour réaliser un jailbreak. En aucun cas, le coprocesseur Security Enclave intégré qui contrôle le chiffrement et évalue un code d'accès ou Face ID / Touch ID n'est compromis.

Ce que font des outils comme GrayKey, c'est deviner le mot de passe en exploitant les failles du système d'exploitation iOS pour supprimer la limite de dix tentatives de mot de passe. Après avoir supprimé ce logiciel, ces outils profitent simplement d'une attaque par force brute pour essayer automatiquement des milliers de codes d'accès jusqu'à ce que l'un fonctionne. A chaque fois, l'évaluation dure 80 ms.

Un mot de passe à quatre chiffres, la longueur par défaut précédente, prendrait en moyenne environ sept minutes à deviner. S'il s'agit de six chiffres, cela prendrait en moyenne environ 11 heures. Huit chiffres: 46 jours. Dix chiffres: 12,5 ans.

Si le code d'accès utilise à la fois des chiffres et des lettres, il y a beaucoup plus de codes d'accès possibles. Un mot de passe alphanumérique à six caractères prendrait en moyenne 72 ans à deviner.

Enfin, pour revenir au sujet, Apple a déclaré dans son rapport ne pas vouloir créer une porte dérobée, même pour les gentils. La firme devrait donc maintenir le cap mais sa position sur le non cryptage des sauvegardes iCloud pose question.



Conseils de sécurité


Si vous craignez pour votre sécurité, mieux vaut donc utiliser un code à 6 chiffres minimum, ainsi qu'une sauvegarde locale via votre Mac ou PC.

Source

Vous aimerez peut-être

Nos derniers articles

Suivez-nous avec notre app iSoft
Articles populaires
Donner votre avis
Les réactions

10 N103 - iPhone

22/01/2020 à 18h25 :

@AlienFall - iPhone premium
Réglages > Touch ID et code (ou Face ID et code sûrement) > Accessoires USB

9 Exasky - iPhone

22/01/2020 à 18h19 :

@Alban
Ça reste une erreur de dire cryptage (en tout cas dans le monde de l'informatique)

8 AlienFall - iPhone premium

22/01/2020 à 12h49 :

@Artifix_ - iPhone premium
Comment tu désactives le port ? Et pour la recharge tu fais comment du coup ?

Merci

7 Artifix_ - iPhone premium

21/01/2020 à 21h01 :

Personnellement code à 12 chiffres et le port lightning désactivé si l’iPhone est verrouillé normalement je risque pas grand chose

6 vampirehilare - iPhone

21/01/2020 à 19h39 :

La CIA n’a jamais réussi à cracker Time Capsule alors que les autres bornes wi-fi serveur OUI! Donc oui je te le conseille franchement

5 vampirehilare - iPhone

21/01/2020 à 19h34 :

Je suis particulièrement attaché à la sécurité informatique en général, c’est bon à savoir merci. Bon ben du coup mon code de huit chiffres va passer à dix!

4 N103 - iPhone

21/01/2020 à 17h44 :

que pensez-vous de l’AirPort Time Capsule en tant qu’alternative d’iCloud ?

3 Lord Redemptor - iPhone

21/01/2020 à 17h08 :

Ne pas être dépeint comme une entreprise aidant les criminels. Pourtant ça aide ceux qui espionnent les particuliers... :)

2 Alban (rédacteur)

21/01/2020 à 16h23 :

@Exasky - iPhone :
Le cryptage se dit bien, cf https://fr.wikipedia.org/wiki/Chiffrement

1 Exasky - iPhone

21/01/2020 à 16h12 :

Super article !
Cependant le mot "cryptage" n'existe pas, le terme correct est "chiffrement" ;)