Apple prévoit un nouveau système de cryptage pour éloigner les pirates et protéger les données iCloud

Alors qu’Apple a attiré l’attention dans le passé sur son incapacité à aider des agences telles que le Federal Bureau of Investigation à accéder aux données sur ses iPhones cryptés, il a été en mesure de fournir une grande partie des données stockées dans les sauvegardes iCloud sur demande légale valide. L’année dernière, il a répondu à des milliers de demandes de ce type aux États-Unis, selon la société.

Avec ces nouvelles améliorations de sécurité, Apple n’aurait plus la capacité technique de se conformer à certaines demandes des forces de l’ordre telles que les sauvegardes iCloud, qui pourraient inclure les journaux de discussion et les pièces jointes iMessage et ont été utilisées dans de nombreuses enquêtes.

La société a déclaré que les améliorations de sécurité, qui ont été annoncées mercredi, sont conçues pour protéger les clients Apple des attaquants les plus sophistiqués.

“Alors que les clients ont mis de plus en plus d’informations personnelles sur leur vie dans leurs appareils, ceux-ci sont de plus en plus l’objet d’attaques par des acteurs avancés”, a déclaré Craig Federighi, vice-président senior de l’ingénierie logicielle d’Apple, dans une interview. Certains de ces acteurs se donnent beaucoup de mal pour mettre la main sur les informations privées des personnes qu’ils ont ciblées, a-t-il déclaré.

Un porte-parole du ministère de la Justice a refusé de commenter. Les représentants du Federal Bureau of Investigation n’ont pas immédiatement répondu à une demande de commentaire.

D’anciens responsables des forces de l’ordre et du renseignement occidentaux ont déclaré qu’ils étaient surpris par la décision d’Apple, en partie parce que la société s’était abstenue par le passé de déployer de tels paramètres de cryptage pour iCloud. Les responsables ont déclaré qu’Apple indiquait parfois aux autorités l’iCloud comme un moyen possible de collecter des informations qui pourraient être utiles pour des enquêtes criminelles.

Ciaran Martin, ancien chef du National Cyber ​​​​Security Center du Royaume-Uni, a déclaré que l’annonce d’Apple pourrait entraîner des complications juridiques pour l’entreprise dans plusieurs démocraties qui, ces dernières années, ont adopté ou pesé des restrictions sur la technologie qui ne peuvent pas répondre aux demandes des forces de l’ordre. .

“Les choses ne seront plus claires que lorsque de plus amples détails techniques seront donnés”, a déclaré M. Martin. “Mais à première vue, la législation existante en Australie et la législation imminente au Royaume-Uni sembleraient donner à ces gouvernements le pouvoir de dire à Apple dans ces pays de ne pas le faire.”

L’année dernière, Apple a proposé un logiciel pour l’iPhone qui identifierait le matériel d’abus sexuel d’enfants sur l’iPhone. Apple affirme maintenant avoir arrêté le développement du système, à la suite des critiques de chercheurs en confidentialité et en sécurité qui craignaient que le logiciel ne soit utilisé à mauvais escient par des gouvernements ou des pirates pour accéder à des informations sensibles sur le téléphone.

M. Federighi a déclaré qu’Apple s’était concentré sur la protection des enfants dans des domaines tels que la communication et la fourniture aux parents d’outils pour protéger les enfants dans iMessage. “Les abus sexuels sur les enfants peuvent être évités avant qu’ils ne se produisent”, a-t-il déclaré. “C’est là que nous mettons notre énergie à aller de l’avant.”

Grâce à son logiciel de contrôle parental, Apple peut informer les parents qui s’inscrivent si des photos nues sont envoyées ou reçues sur l’appareil d’un enfant.

Le nouveau système de cryptage, qui sera testé par les premiers utilisateurs à partir de mercredi, sera déployé en option aux États-Unis d’ici la fin de l’année, puis dans le monde entier, y compris en Chine en 2023, a déclaré M. Federighi.

“Ce développement suscitera des questions à la maison et à l’étranger, y compris si le gouvernement chinois acceptera vraiment une perte d’accès aux données”, a déclaré Sumon Dantiki, un ancien haut responsable du FBI et du ministère de la Justice qui a travaillé sur les cyber-enquêtes et est maintenant partenaire de le cabinet d’avocats King & Spalding. Les responsables américains ont depuis longtemps souligné les exigences de plus en plus strictes de la Chine en matière d’accès aux données sur les entreprises qui opèrent à l’intérieur de ses frontières comme une préoccupation de sécurité nationale.

En plus de la protection avancée des données, Apple modifie également son application Messages pour rendre plus difficile l’espionnage des messages, et elle permettra désormais aux utilisateurs de se connecter à leurs comptes Apple avec des clés de sécurité matérielles créées par d’autres sociétés telles que Yubico.

Les groupes de protection de la vie privée demandent depuis longtemps à Apple de renforcer le cryptage sur ses serveurs cloud. Mais comme les clés de chiffrement de la protection avancée seront contrôlées par les utilisateurs, le système limitera la capacité d’Apple à restaurer les données perdues.

Pour configurer la protection avancée des données, les utilisateurs devront activer au moins une méthode de récupération des données. Il peut s’agir d’une clé de récupération (une longue liste de chiffres et de caractères que les utilisateurs peuvent imprimer et stocker dans un emplacement sécurisé) ou l’utilisateur peut désigner un ami ou un membre de sa famille comme contact de récupération.

Au cours des deux dernières décennies, les entreprises et les consommateurs ont déplacé une grande partie de leurs données des systèmes informatiques qu’ils contrôlent vers le cloud, des centres de données remplis de serveurs exploités par de grandes entreprises technologiques. Cette tendance a fait de ces systèmes cloud une cible attrayante pour les cyber-intrus.

M. Federighi a déclaré qu’Apple n’était au courant d’aucune donnée client extraite d’iCloud par des pirates, mais que le système de protection avancée leur compliquerait la tâche. “Nous tous dans l’industrie qui gérons les données des clients sommes constamment attaqués par des entités qui tentent de violer nos systèmes”, a-t-il déclaré. “Nous devons garder une longueur d’avance sur les futures attaques avec de nouvelles protections.”

Alors qu’Apple a verrouillé ses systèmes, les gouvernements du monde entier s’intéressent de plus en plus aux données stockées sur les téléphones et les ordinateurs en nuage. Cet intérêt a conduit à des frictions entre Apple et les forces de l’ordre, ainsi qu’à un marché croissant pour les outils de piratage d’iPhone. En 2020, le procureur général William Barr a fait pression sur Apple pour trouver un moyen de déchiffrer le cryptage de l’iPhone pour aider à une enquête terroriste sur une fusillade qui a tué trois personnes dans une base de la marine de Floride.

La protection avancée réduira la quantité d’informations iCloud qu’Apple peut fournir aux forces de l’ordre, qui demandent fréquemment des données iPhone à Apple dans le cadre de leurs enquêtes. Apple a reçu des demandes d’informations sur 7 122 comptes Apple de la part des autorités américaines au cours des six premiers mois de 2021, la dernière période pour laquelle l’entreprise a fourni des informations.

Apple avait déjà proposé un chiffrement de bout en bout pour certains de ses services, mais la protection s’étendra désormais à 23 services, dont les sauvegardes iPhone et Photos. Cependant, trois services – Mail, Contacts et Calendrier – ne seront pas éligibles à la protection avancée car ils utilisent des protocoles technologiques plus anciens, a déclaré M. Federighi.

M. Federighi a déclaré qu’Apple pensait partager la même mission que les forces de l’ordre et les gouvernements : assurer la sécurité des personnes. Si des informations sensibles devaient tomber entre les mains d’un attaquant, d’un adversaire étranger ou d’un autre mauvais acteur, cela pourrait être désastreux, a-t-il déclaré.

“Nous donnons aux utilisateurs la possibilité de conserver cette clé uniquement sur leurs appareils, ce qui signifie que même si un attaquant réussissait à pénétrer dans le cloud et à accéder à toutes ces données, cela n’aurait aucun sens pour eux”, a déclaré M. Federighi. “Ils n’auraient pas la clé pour le déchiffrer.”