Ce qui est encore plus choquant, c’est que la démarche d’Apple n’est pas allée assez loin : La demande adressée à Apple en vertu de la loi sur les pouvoirs d’investigation (Investigatory Powers Act) exige qu’Apple permette l’accès aux données du nuage de tous ses utilisateurs dans le monde. Le changement actuel ne concerne que les nouveaux utilisateurs britanniques. Les utilisateurs britanniques actuels recevront un jour un avertissement leur indiquant qu’ils doivent désactiver le chiffrement de bout en bout, faute de quoi ils perdront l’accès à leurs comptes. Apple ne disposant pas de clé de dérobade, l’utilisateur doit désactiver lui-même le chiffrement de bout en bout.

Ainsi, bien qu’Apple continue d’affirmer qu’il ne s’agit pas d’une porte dérobée, les utilisateurs britanniques doivent se sentir terriblement lésés. Leurs données dans le nuage Apple ne peuvent plus être chiffrées de bout en bout, ce qui les expose à un risque accru de violation de données, d’attaques malveillantes et d’accès gouvernemental.

Toutefois - et il faut le dire en faveur d’Apple - la société Big Tech n’a pas ouvert de porte dérobée dans le secret de son service, donnant ainsi au ministère de l’intérieur britannique un accès total sans que personne ne le sache. Le code source d’Apple n’étant pas publié en tant que source ouverte, il aurait été possible pour l’entreprise de modifier secrètement le code sans en informer qui que ce soit. Le fait qu’Apple se soit partiellement plié à la demande du Royaume-Uni concernant les portes dérobées nous laisse une lueur d’espoir. Le ministère de l’intérieur britannique n’a pas obtenu ce qu’il voulait : Pouvoir surveiller tout le monde dans le secret.

Alors qu’Apple s’est opposée avec succès à une demande similaire du gouvernement américain il y a dix ans, elle a dû céder à la pression politique, créant ainsi un terrible précédent. Le chiffrement de bout en bout est le seul outil dont nous disposons pour protéger nos données. Nous savons tous qu’une porte dérobée réservée aux gentils n’ est pas possible.

Chez Tuta, nous restons déterminés à défendre votre droit à la vie privée. Unissons-nous et montrons aux politiciens qu’il n’est pas acceptable d’envahir nos données privées !

Ce qui s’est passé - une analyse

Le gouvernement britannique a une fois de plus encouragé la surveillance de masse en demandant secrètement à Apple de créer une porte dérobée pour accéder à ses sauvegardes en nuage chiffrées de bout en bout. Cette demande, rapportée par une fuite dans le Washington Post, a des conséquences dévastatrices pour la vie privée numérique dans le monde entier. La demande a été formulée par le biais d’un avis de capacité technique (Technical Capability Notice) en vertu de la loi controversée sur les pouvoirs d’investigation (Investigatory Powers Act) de 2016, également connue sous le nom de “charte des espions” (Snoopers’ Charter). Si Apple s’était plié à cette exigence, cela aurait porté atteinte aux protections du chiffrement et de la vie privée de tous les utilisateurs d’Apple, et pas seulement de ceux du Royaume-Uni.

Cinq yeux : qui obtient les données en premier ?

Ce n’est pas la première fois qu’un gouvernement tente d’affaiblir le chiffrement sous prétexte de sécurité nationale. En fait, l’alliance Five Eyes, composée des États-Unis, du Royaume-Uni, du Canada, de l’Australie et de la Nouvelle-Zélande, est connue pour sa volonté d’ouvrir des portes dérobées au chiffrement.

Dans les guerres cryptographiques en cours - qui ont commencé dès que PGP est devenu accessible à tous au début des années 90 - les gouvernements du monde entier ont essayé de forcer les entreprises technologiques à créer des services de communication moins sécurisés afin que les autorités chargées de l’application de la loi puissent faire de ces entreprises leurs petits (ou grands) auxiliaires lorsqu’il s’agit de poursuivre des criminels. Le problème, c’est qu’une fois qu’une méthode de communication est moins sûre, elle l’est pour tout le monde, et pas seulement pour les criminels. Quoi qu’il en soit, les cinq yeux se relaient pour tenter de forcer les entreprises à saper le chiffrement de bout en bout. Il semble que celui qui s’empare le premier des données aidera les autres pays à faire de même.

Bande dessinée montrant Tim Cook, PDG d’Apple, déverrouillant l’iPhone tandis que le FBI, les pirates informatiques, les régimes répressifs et d’autres encore font la queue pour accéder aux données décryptées. Dans une version actualisée de cette bande dessinée, le Royaume-Uni devrait s’interposer entre Apple et le FBI.

Les protestations du public ont mis fin à la surveillance généralisée

Même l’Union européenne a tenté à plusieurs reprises d’introduire l’analyse côté client, mais n’y est pas parvenue jusqu’à présent, notamment en raison de l’opposition de l’Allemagne, qui a déclaré : “Il n’y a pas de poursuites à n’importe quel prix” et l’Union européenne ne doit pas introduire l’analyse côté client.

En ce qui concerne Apple, les États-Unis ont également essayé de forcer Apple à affaiblir son chiffrement en 2015/2016. À l’époque, Apple avait refusé d’introduire le balayage côté client en raison du tollé général.

Nous devons garder à l’esprit qu’une fois le chiffrement affaibli, la surveillance généralisée, c’est-à-dire le contrôle de chaque citoyen, devient possible. Toute porte dérobée pour les forces de l’ordre deviendrait inévitablement une porte dérobée pour les acteurs malveillants et les régimes autoritaires.

Le Royaume-Uni peut-il décider de votre sécurité ?

Lorsqu’Apple a appris que le Royaume-Uni prévoyait de demander l’ouverture d’une porte dérobée, la société a déclaré, selon le Washington Post: “Il n’y a aucune raison pour que le Royaume-Uni demande l’ouverture d’une porte dérobée :

“Il n’y a aucune raison pour que le gouvernement britannique ait le pouvoir de décider pour les citoyens du monde entier s’ils peuvent profiter des avantages prouvés en matière de sécurité qui découlent du chiffrement de bout en bout.

Mais le Royaume-Uni a-t-il ce pouvoir?

Une source inconnue a déclaré au Washington Post que le gouvernement britannique exige qu’Apple permette aux forces de l’ordre britanniques d’accéder aux sauvegardes cryptées des utilisateurs du monde entier, qu’ils soient citoyens britanniques ou non. Cela a été fait par le biais d’un avis de capacité technique signifié en vertu de la loi britannique sur les pouvoirs d’investigation de 2016, également connue sous le nom de Charte des fouineurs - la loi de surveillance la plus extrême dans une démocratie. Ce mécanisme juridique oblige les entreprises à aider les forces de l’ordre en leur donnant accès aux communications chiffrées, et rend également illégale la divulgation de ces demandes au public.

L’ordonnance britannique ne se contente pas de cibler des comptes spécifiques. Elle exige une capacité globale de modifier le code d’Apple de telle sorte que l’utilisateur ne soit plus le seul à pouvoir déchiffrer ses données, mais qu’Apple ait le pouvoir de déchiffrer toutes les données de l’utilisateur et de les transmettre aux autorités sur demande, créant ainsi un dangereux précédent pour la protection de la vie privée numérique à l’échelle mondiale.

Le pouvoir dont dispose le Royaume-Uni semble illimité. Le WaPo rapporte que

”L’une des personnes informées de la situation, un consultant qui conseille les États-Unis sur les questions de cryptage, a déclaré qu’il serait interdit à Apple d’avertir ses utilisateurs que son cryptage le plus avancé n’offrait plus une sécurité totale. Cette personne a jugé choquant que le gouvernement britannique demande l’aide d’Apple pour espionner des utilisateurs non britanniques à l’insu de leur gouvernement.”

Cette situation est d’autant plus problématique que le code d’Apple est propriétaire et n’est pas publié en tant que source ouverte. Cela signifie qu’un changement dans la manière dont le chiffrement est effectué sur les clients d’Apple pourrait passer inaperçu pour le public pendant très longtemps.

Un précédent pour la surveillance de masse

Le fait qu’Apple ait partiellement accédé à la demande du Royaume-Uni de mettre en place une porte dérobée pour son chiffrement a créé un dangereux précédent pour les entreprises technologiques du monde entier. Le Royaume-Uni a peut-être été le premier à émettre un ordre aussi radical, mais il ne sera certainement pas le dernier. Une fois qu’une porte dérobée existe, d’autres gouvernements feront la queue pour demander le même accès. La Chine, la Russie et d’autres régimes dont le bilan en matière de droits de l’homme est douteux suivront sans aucun doute.

En outre, au sein de l’alliance de renseignement dite des “cinq yeux”, il existe une longue tradition d’accords de partage d’informations. Cela signifie que le Royaume-Uni peut partager toutes les données qu’il reçoit d’Apple avec les autres pays des “cinq yeux”, mais aussi qu’il est très probable que les autres membres de cette alliance exigeront les mêmes capacités de surveillance. Par conséquent, la protection de la vie privée numérique pourrait s’en trouver érodée partout dans le monde.

Faire face à l’opposition

Dès l’annonce de la demande du Royaume-Uni de créer une porte dérobée pour le chiffrement d’Apple, l’opposition a commencé à tirer la sonnette d’alarme, même aux États-Unis : le sénateur Ron Wyden (Oregon), membre démocrate de la commission sénatoriale du renseignement, a déclaré au Washington Post : “Trump et les entreprises technologiques américaines qui laissent des entreprises étrangères s’introduire dans le système de cryptage d’Apple ne sont pas en mesure de le faire :

“Trump et les entreprises technologiques américaines laisser des gouvernements étrangers espionner secrètement des Américains serait inadmissible et un désastre total pour la vie privée des Américains et notre sécurité nationale.”

Ses inquiétudes sont justifiées, étant donné que les pays du groupe des Cinq Yeux ont souvent coopéré dans le cadre de programmes de surveillance, comme l’ont montré les révélations d’Edward Snowden. Une porte dérobée mandatée par le Royaume-Uni ne sera pas limitée aux autorités britanniques : elle sera bientôt exploitée par les services de renseignement de tous les pays alliés.

Meredith Whittaker de Signal, l’une des meilleures alternatives à WhatsApp, a déclaré au WaPo :

“L’utilisation d’avis de capacité technique pour affaiblir le chiffrement dans le monde entier est une mesure choquante qui fera du Royaume-Uni un paria de la technologie, plutôt qu’un leader dans ce domaine. Si elle est mise en œuvre, cette directive créera une dangereuse vulnérabilité en matière de cybersécurité dans le système nerveux de notre économie mondiale.”

Matthias Pfau, PDG de Tuta Mail, ajoute :

“Nous avons vu des demandes de données cryptées à maintes reprises. Nous avons également vu ces demandes rejetées à maintes reprises. Avec la communauté de la protection de la vie privée, nous nous unissons et défendons notre droit à la vie privée. Les gouvernements ne doivent pas forcer les entreprises technologiques à affaiblir la sécurité dont nous dépendons tous, d’autant plus que les cybermenaces ne cessent d’augmenter. Nous nous battons pour le droit à la vie privée de nos utilisateurs grâce au chiffrement de bout en bout, et nous continuerons à le faire, quelles que soient les demandes des gouvernements”.

Il est intéressant de noter que l’agence américaine CISA vient de publier son plus grand plaidoyer en faveur du chiffrement à la suite du piratage par la Chine de fournisseurs de télécommunications américains, qui permet à la Chine de surveiller les appels et les messages non chiffrés de nombreux citoyens américains, y compris des hommes politiques. Cette attaque contre les États-Unis montre pourquoi le chiffrement de bout en bout est plus que jamais nécessaire dans le monde en ligne d’aujourd’hui.

Seul le chiffrement de bout en bout peut nous protéger contre le vol de données et les attaques malveillantes.

Le moment choisi par le Royaume-Uni est intéressant

Le moment choisi pour la demande du Royaume-Uni mérite également d’être analysé dans le contexte d’évolutions géopolitiques plus larges. Il convient de noter qu’Apple a tenté d’introduire la fonction de chiffrement de bout en bout pour son stockage dans le nuage dès le premier mandat du président Donald Trump - mais a fait marche arrière en raison de plaintes selon lesquelles l’entreprise n’aiderait pas les organismes d’application de la loi à poursuivre des criminels tels que les meurtriers ou les trafiquants de drogue. Le cryptage optionnel du cloud a ensuite été introduit par Apple en 2022 - et fait maintenant l’objet d’une nouvelle pression, peu après que Trump soit redevenu président des États-Unis.

Pourrait-il s’agir d’un effort coordonné entre le Royaume-Uni et l’administration américaine ? Il est possible que les États-Unis soutiennent tacitement cette démarche, en utilisant le Royaume-Uni comme terrain d’essai pour voir si les géants de la technologie se conformeront à des ordres de surveillance radicaux. Étant donné que les agences de renseignement américaines, en particulier le FBI, cherchent depuis longtemps à obtenir un accès indirect aux communications cryptées, il ne serait pas surprenant que Washington encourage discrètement cette démarche en coulisses. Des représentants de l’administration Trump ont refusé de commenter cette information lorsque le Washington Post leur a posé la question.

La guerre des cryptomonnaies se poursuit, mais la protection de la vie privée doit l’emporter

Il ne s’agit là que de la dernière bataille en date dans le cadre de la guerre des cryptomonnaies, qui oppose depuis des décennies les gouvernements et les défenseurs de la vie privée au sujet de l’avenir du cryptage. Depuis les années 1990, les services répressifs font pression pour obtenir des portes dérobées dans les communications cryptées, en invoquant le terrorisme et l’exploitation des enfants comme justifications. Cependant, les experts en sécurité ont démontré à maintes reprises que l’affaiblissement du chiffrement pour un objectif donné l’affaiblit pour tous les autres objectifs. Une vulnérabilité créée pour un usage gouvernemental sera inévitablement exploitée par de mauvais acteurs, y compris des cybercriminels et des régimes étrangers hostiles.

Chez Tuta, nous avons toujours mis en garde contre ces dangers. Nos discussions précédentes sur la surveillance gouvernementale, telles que la façon dont les gouvernements exploitent les lois de surveillance et l’importance du chiffrement, montrent à quel point un chiffrement fort est essentiel pour protéger les données sensibles des citoyens et des entreprises. Si nous permettons à un gouvernement de forcer une porte dérobée dans des communications sécurisées, ce ne sera qu’une question de temps avant que d’autres ne fassent de même.

La vie privée de milliards d’utilisateurs est en jeu.

La lutte pour le chiffrement est loin d’être terminée. Les gouvernements continueront à faire pression pour obtenir davantage de pouvoirs de surveillance, mais le public doit riposter. La vie privée est un droit humain fondamental, et le chiffrement est l’outil le plus puissant dont nous disposons pour la protéger. Le chiffrement est essentiel pour protéger notre droit à la vie privée et notre droit à la liberté d’expression.

Chez Tuta, nous continuons à nous battre pour votre droit à la vie privée avec un chiffrement de bout en bout - sans aucune porte dérobée, c’est une garantie.