Après
l’attaque
terroriste de San Bernardino
(Californie) qui fit 14 victimes en décembre 2015, le FBI mit la
main sur l'iPhone d’un djihadiste et demanda à Apple d'accéder
aux contenus chiffrés du smartphone. Mais la firme à la pomme
refusa au nom de la protection des données personnelles de ses
clients. Entre
dilemmes cornéliens et pièges abscons dans une ambiance
claire-obscure, décryptons passablement ce bras
de fer
judiciaire et médiatique entre le Bureau et la Firme.
L'hypocrisie
ou la schizophrénie des Fédéraux. Quelques années plus tôt,
les administrations américaines (et européennes) critiquaient
régulièrement l'absence ou l'insuffisance des solutions
d'infosécurité et de chiffrement intégrées aux produits /
services commerciaux. Les données personnelles ou sensibles étaient
des proies faciles pour les cybercriminels de tout poil et pour les
hackers (chinois ou russes. Forcément). De nombreuses firmes technologiques telles
qu'Apple ont hissé la barre et sont aujourd'hui accusées par ce
même gouvernement de faire obstruction aux enquêtes légales avec
des solutions de chiffrement plus solides... ou de s'entêter dans
leurs stratégies marketing.
Le
choc des volontés. Apple est une firme multi-milliardaire (deuxième capitalisation boursière mondiale derrière Google) qui vend chaque année des millions de produits / services
technologiques dans le monde. Le FBI est une autorité fédérale de
police judiciaire et un service de renseignement sur le territoire
américain. L'une est d'abord et surtout soucieuse de ses clients,
l'autre est très à cheval sur ses investigations.
La
confiance des utilisateurs et des marchés. Depuis l'affaire
Snowden, bon nombre de gouvernements et d'entreprises ont
banni les applications made in USA, se sont rués vers les
solutions open source ou les produits / services concurrents
et ont durci leurs législations sur la circulation / rétention des
données. L'industrie technologique américaine craint qu'une
victoire du Bureau contre la Firme soit l'uppercut de trop. Ce n'est
guère un hasard si Microsoft, Google, Facebook, Amazon, Twitter,
Facebook et la Silicon Valley se soient rangées aux côtés d'Apple.
Les abus officieusement officiels. Aux Etats-Unis, au Royaume-Uni et ailleurs, les polices affectionnent particulièrement la technologie mobile de surveillance télécoms StingRay, sans mandat ni autorisation judiciaire. En France, les relais GSM (téléphonie 3G / 4G) et les DSLAM (dispositifs de filtrage et de répartition du trafic téléphonie / Internet vers les abonnés) seront très probablement reconvertis en auxiliaires de police des ondes. Encourageant ?
La
jurisprudence. Le FBI jure par tous les octets qu'Apple sera
sommée pour cette seule et unique occasion de développer une
application lourde et complexe spécifiquement conçue pour craquer
le chiffrement de l'iPhone 5C du terroriste. Mais le Bureau a déjà
accumulé une
dizaine de requêtes similaires (en attente) auprès des
tribunaux américains. Pour peu que la Firme cède, la jurisprudence
s'en donnerait aussitôt à cœur joie...
La
lourdeur, la complexité et les risques. Le développement de
cette application très spécifique revient à concevoir un système
d'exploitation complet surnommé FBIOS ou GovtOS. Selon la Firme, il faudrait « six à dix
ingénieurs et employés d’Apple consacrant une grande partie de
leur emploi du temps pendant un minimum de deux semaines,
probablement quatre semaines au total »...
c-à-d un un
chef de projet, une équipe d'ingénieurs logiciels maîtrisant
parfaitement iOS et la cryptographie, un ingénieur en contrôle /
assurance qualité, un ou plusieurs rédacteurs de documentation
technique. Une fois conçue, l'application devrait être certifiée
(à reculons) par la Firme, puis testée dans des locaux isolés et
sécurisés qui ne nuiraient ni à l'enquête, ni à sa routine... en compagnie des experts en informatique légale du FBI.
Vaste programme.
D'ores
et déjà, une sourde rébellion prend forme au sein d'Apple. Selon
le New
York Times, de nombreux ingénieurs logiciels (sous
anonymat) menacent de démissionner et/ou de désobéir au cas où la Firme serait forcée par la justice de
développer un GovtOS.
«
Au cas où ces employés seraient identifiés, ils pourraient
devenir des cibles de représailles, de coercition ou de menaces
similaires par de mauvais acteurs qui cherchent à obtenir et
utiliser GovtOS à des fins malveillantes [...] Je comprends
que ces risques soient une raison pour laquelle les agences de
renseignement protègent souvent les noms et les fonctions des
personnes ayant accès à des données et informations très
sensibles », avait
déclaré sous serment Erik Neuenschwander, directeur
sécurité produits de la Firme à un tribunal californien.
La
boîte de Pandore. Le gouvernement fédéral est régulièrement
victime de pertes de supports numériques (CDVD-ROM, clés USB),
d'intrusions et de cyberattaques visant ses données sensibles
(identités des agents fédéraux, numéros de sécurité sociale,
etc). Selon Apple, le développement d'une application de
déchiffrement exclusivement dédiée à une enquête particulière
du FBI ne garantit guère que cette application ne tombe entre de
mauvaises mains et soit sujette à une rétro-ingénierie et/ou à
une dérivation à des fins moins louables.
« Le
monde virtuel n'est pas comme le monde physique. Quand vous détruisez
quelque chose dans le monde physique, l'effort nécessaire pour le
recréer est à peu près équivalent à l'effort nécessaire pour le
créer en premier lieu. Lorsque vous créez quelque chose dans le
monde virtuel, le processus de création d'une copie parfaite et
exacte est aussi simple qu'une frappe sur la touche d'un d'ordinateur
parce que le code sous-jacent subsiste. » (Apple)
Aléas,
CALEA. Voté en 1994 par le Congrès après d'intenses
négociations, le Communications Assistance for Law
Enforcement Act (CALEA) est le cadre légal
définissant l'assistance des sociétés informatiques / télécoms
aux autorités. Selon l'article
1002 du CALEA, « le
gouvernement fédéral ne peut exiger la conception spécifique d'un
équipement, de matériel, de services, de caractéristiques ou de
configurations à un fabricant de téléphone.»
À
l'ère Clinton c-à-d aux débuts de l'Internet grand public, le
Congrès avait choisi de ne pas introduire une disposition forçant
les entreprises technologiques à fournir leur assistance aux
autorités pour accéder aux données stockées sur un terminal.
Corollairement, le gouvernement fédéral ne peut ordonner à un
fabricant d'intégrer un élément nouveau – comme une porte
dérobée - dans ses produits / services dès leur diffusion /
commercialisation.
À
l'ère du djihad crypté pour iPhone / Android, le FBI et le
Département de la Justice préfèrent que le CALEA évoque une
soi-disante plante exotique plutôt qu'une barrière légale... et
invoquent l'All Writs Act
(AWA), amendement datant de 1789 et conférant un pouvoir illimité à
toute autorité fédérale pourvu d'un mandat de perquisition.
La
Loi contre l'Ordre. Forte d'avocats
chevronnés et certainement très bien rémunérés, la Firme a
d'abord vivement contesté l'invocation de l'AWA, estimant qu'elle
n'est pas concernée par l'affaire San Bernardino, condition
préalable à toute assistance d'une entreprise aux autorités : «
Apple n’est pas plus connectée à ce
téléphone que General Motors l’est à un véhicule professionnel
utilisé par un fraudeur sur son trajet quotidien.
» Ensuite, elle a invoqué le premier amendement sur la liberté
d'expression car les tribunaux américains considèrent le code
informatique comme une forme de langage (“code
is speech”), et le cinquième amendement
empêchant toute personne de s'incriminer.
Selon
le professeur de droit numérique Albert Gidari dans
le blog CIS Stanford Law School, le
FBI use d'arguments fallacieux et d'un amendement datant de la
révolution française : le CALEA est un coup d'arrêt ferme,
catégorique et définitif aux desseins du Bureau.
Surpressions
judiciaires et administratives. Les
entreprises technologiques cèdent
très souvent aux requêtes et aux
injonctions du FBI ou du Département de la Justice par l'entremise
discrète du FISA et livrent “volontiers” leurs codes sources.
Tout va bien tant que les clients et les partenaires ne se doutent de rien ou en savent le moins possible.
Aux
Etats-Unis, le FISA est la terreur des start-up et des firmes
technologiques : « Le Foreign Intelligence
Surveillance Court est une cour fédérale américaine créée par la
loi Foreign Intelligence Surveillance Act de 1978 pour superviser les
demandes de mandats autorisant la surveillance, par les agences
fédérales judiciaires américaines (FBI, NSA), de présumés agents
de renseignement étrangers sur le sol américain. [...]
Ses pouvoirs ont évolué et se sont élargis au point qu'elle est
parfois appelée "la Cour suprême parallèle".
Contrairement aux autres cours fédérales américaines, ses
activités ne sont pas analysées par une partie adverse et son
interprétation de la loi est une information secrète classifiée
pendant 30 ans.» (Wikipédia)
En
2013, la firme Lavabit, spécialisée dans des solutions webmail
sécurisées (utilisées
par Edward Snowden avant ses années russes) avait préféré
mettre
la clé sous la porte plutôt que céder au Département
de la Justice via le FISA... qui fut une pierre angulaire du fameux programme de surveillance PRISM (vive la NSA !). Le Bureau aurait-il opté pour une
approche plus rude et plus tonitruante contre la puissante Firme ?
Le
Léviathan global. La cybersécurité de l'iPhone est loin d'être
infaillible mais des myriades de mobinautes – a fortiori dans les
régimes politiques plus ou moins « durs » - l'apprécient
grandement pour ses solutions conviviales et intuitives de
chiffrement des données personnelles.
Auparavant,
de nombreux gouvernements du Moyen-Orient et d'Asie avaient
exigé que la firme canadienne Blackberry, réputée pour
ses solutions télécoms de chiffrement, installe des serveurs locaux
afin de faciliter les enquêtes anti-terroristes. Aujourd'hui, les
polices et les justices d'Europe, de Russie, de Chine, d'Iran,
d'Arabie Saoudite, d'Inde et consort ont hâte d'une conclusion
judiciaire favorable au FBI qui leur donnera du grain à moudre face
à Apple en cas de besoin.
L'Empire
du Milieu. La Chine représente plus du quart du chiffre
d'affaires d'Apple... qui a tout de même consenti
aux audits de sécurité du gouvernement chinois sur ses
produits / services mais « n'a jamais crée de portes
dérobées, ni livré de code source et encore moins développé un
système d'accès personnalisé comme celui demandé par le FBI »,
selon une déclaration sous
serment de Craig Federighi, directeur logiciels de la
Firme.
En
effet, Apple est nécessairement confrontée à la nature
particulière du Web chinois – tant sur le plan technique que légal
– qui laisse très peu de marges aux solutions d'infosécurité et
de chiffrement. Le gouvernement chinois accède à volonté à tous
les services en ligne utilisés par les détenteurs d'iPhone / iPad
(et d'autres technologies made in USA
/ made in China), exerce un filtrage et une
surveillance hautement paranoïaques de son Web et n'a donc pas
forcément besoin d'accéder à un terminal spécifique (smartphone,
tablette, ordinateur) pour satisfaire sa curiosité. Google,
Microsoft, Yahoo!, Facebook, Amazon et compagnie, pourtant
impatientes de s'implanter plus profondément dans ce juteux marché
chinois, reculent ou pataugent en partie à cause de ces sulfureux compromis
avec Pékin.
Aigle
royal et Dragon rouge. Un malheur ne venant jamais seul, le
directeur du FBI James Comey s'est
rendu en mi-mars à Pékin et a rencontré le ministre de
la sécurité publique Guo Shengkoun afin de « renforcer
l'application de la loi et la coopération sécuritaire »,
notamment contre le cybercrime organisé. Ainsi, le gouvernement
fédéral et la république populaire se retrouvent sur la même
longueur d'onde pour des raisons différentes et mettent la pression
sur la firme à la pomme afin qu'elle dévoile son Graal.
Le
Bureau aurait-il obtenu en catimini quelque élément à charge
contre la Firme – en vue de l'imminent procès San Bernardino -
dans son aventure chinoise ? Les paris sont ouverts.
Obamacare.
Résumons et caricaturons l'avertissement plutôt pertinent de 44th
à la Silicon Valley dans
une intervention au festival SXSW 2016 (médias &
technologie) : « Dites, les technos... Vous ferez bien
de vous arranger avec le FBI avant qu'il ne soit trop tard. Un jour
ou l'autre, une tragédie similaire se produira, le Congrès prendra
les choses en main et votera un amendement orwellien que vous
n'aimerez pas. »
Guerre psychologique. En réalité, le Bureau n'est guère en quête d'une preuve mais d'un précédent judiciaire ensuite « prêt-à-réchauffer » dans d'autres circonstances. D'où une confrontation médiatique avec Apple qui serait progressivement soumise à un dilemme cornélien : coopérer avec le FBI ou passer pour une complice passive du terrorisme aux yeux de l'opinion américaine.
Guerre psychologique. En réalité, le Bureau n'est guère en quête d'une preuve mais d'un précédent judiciaire ensuite « prêt-à-réchauffer » dans d'autres circonstances. D'où une confrontation médiatique avec Apple qui serait progressivement soumise à un dilemme cornélien : coopérer avec le FBI ou passer pour une complice passive du terrorisme aux yeux de l'opinion américaine.
Au
fait, où est la NSA ? Le
FBI n'est certainement pas dépourvu d'astuces permettant de craquer
le chiffrement particulièrement sophistiqué de l''iPhone5 / iOS 8
et des versions successives mais leur
efficacité n'est pas garantie.
Elle ne peut se tourner vers la National
Security Agency qui
n'est pas une autorité fédérale de police judiciaire – et de facto tenue d'obtenir légalement des preuves et d'exposer ses modes opératoires aux juges - mais un service de
renseignement électronique à l'échelle planétaire qui agit
clandestinement et veille donc jalousement au secret de ses opérations et
de ses capacités tous azimuts. En bref, les gars et filles du Bureau
sont des fédéraux, ceux et celles de l'Agence sont des espions.
Aucun commentaire:
Enregistrer un commentaire