LE HACK D’APPLE : UNE QUESTION ÉTUDIÉE AFIN DE NOUS PROTÉGER.

Apple security

LE HACK D’APPLE : UNE QUESTION ÉTUDIÉE AFIN DE NOUS PROTÉGER.

Le FBI a ordonné à Apple de collaborer pour contrecarrer sa propre sécurité, mais lorsque le prochain cas se présentera, et il se produira, si l’entreprise refuse d’aider, le résultat aura des répercussions considérables.

En dépit du fait que le FBI a trouvé un moyen d’ordonner à Apple d’aider le FBI à déchiffrer le mot de passe sur un iPhone utilisé par un suspect dans les meurtres de San Bernardino, la question fondamentale n’a pas été solutionnée et il existe des raisons assez convaincantes pour lesquelles Apple, et d’autres qui se trouvent dans une situation similaire, devraient simplement dire non à ces ordonnances.

Le problème central est le suivant: Il ne s’agit pas seulement de ce téléphone dans cette situation. Ce qui aurait pu se produire si Apple s’y était conformé aurait pu affecter tous les téléphones (et tous les appareils) dans toutes les situations.

Les entreprises comme Apple prennent la sécurité au sérieux. Ils ont dû le faire, pour de nombreuses raisons. La tendance actuelle est que les appareils mobiles tels que les téléphones, les ordinateurs portables et les tablettes ne sont plus seulement des appareils personnels. Ce sont notre carnet d’adresses, notre calendrier, notre agenda, notre outil de courrier électronique, tous réunis en un seul. En même temps, ils sont aussi devenus des appareils professionnels.

Avec le développement du BYOD (Bring your own device) « Apportez votre propre appareil » et des solutions de gestion des appareils mobiles « Mobile Device Management » (MDM), les entreprises disent essentiellement : « Vous pouvez utiliser votre propre appareil pour transmettre, ouvrir et travailler sur des documents d’entreprise parfois sensibles, à condition qu’ils soient sécurisés », comme l’exigent les lois telles que l’HIIPA et la loi Sarbanes-Oxley. Les entreprises le font parce qu’elles font confiance aux caractéristiques de sécurité propres à votre appareil et, grâce aux changements apportés par Apple à leur logiciel après l’incident de Snowden, les données de leurs appareils étaient considérées comme étant accessibles uniquement à quelqu’un qui possède le code d’accès de l’appareil. Apple a spécifiquement conçu sa sécurité de manière à ce que même eux ne puissent pas la décrypter.

Le FBI voulait qu’Apple crée un iOS personnalisé qui éliminerait ou outrepasserait ces mesures de protection.

D’un côté, il peut sembler raisonnable, voire justifié, que le gouvernement fasse cette demande d’interception légale, car c’est pour la sécurité publique. Le problème, c’est la dangereuse dérive ainsi engendrée. Cette affaire a peut-être été relativement claire, mais qu’en est-il de la prochaine fois, et de la prochaine fois ? Que se passerait-il si du code spécifique avait été créé et se retrouvait entre de mauvaises mains ? Le plus grand problème ici est le fait qu’une fois créé, ce moyen de contournement du mot de passe peut être sollicité de façon répétée. Peu de gens s’attendent à ce que ce soit la dernière fois que Celllebrite est appelé à accéder aux données d’un iPhone – et pas seulement par le FBI.

La demande a créé un précédent considérable sur le droit d’un gouvernement d’empiéter sur la vie privée de ses citoyens et sur le droit des entreprises de créer des logiciels sécurisés. Il n’est pas difficile de prévoir un moment dans un futur proche où les autorités pourraient obliger des entreprises technologiques comme Apple à mettre en place des logiciels « over-the-air » (OTA) qui partageraient l’emplacement, le son et la vidéo provenant des appareils de leurs clients. Aux États-Unis et au Royaume-Uni, la législation sur la protection des données est déjà en plein essor, ce qui amène certaines entreprises à considérer des éléments tels que l’avantage territorial dans le cadre de leurs stratégies commerciales de base. Plus de mesures législatives dans ce domaine ne sont pas nécessairement la réponse, car la société dans son ensemble veut une plus grande sécurité de l’information.

Les répercussions sont considérables. La construction d’une porte dérobée ou le fait de laisser la « clé sous le tapis » porte atteinte aux entreprises et à la sécurité des transactions, qu’elles soient de nature commerciale ou personnelle. Elle touche à peu près tous les types d’entreprises dans toutes les économies occidentales. Et cela signifie aussi que les gouvernements ne voient clairement pas l’importance de la sécurité personnelle, ce qui a un effet important tant pour les entreprises que pour la société.

Alors, que représente cette affaire pour le futur des données et de leur sécurité ? Si Apple ou toute autre entreprise est obligée de fournir une porte dérobée « backdoor », les entreprises seront obligées de remanier les futures versions de leur produit, ce qui les rendra moins sûres. Apple a déjà fait un pas dans l’autre sens avec l’introduction de Secure Enclave dans les appareils A7. Secure Enclave sépare les mécanismes de sécurité de l’iOS, ce qui rend encore plus difficile l’accès aux données cryptées ou le recours à des attaques d’accès par force brute, mais cela n’est pas tout de même pas impossible. Rien de ce qui est discuté dans cette affaire n’aurait protégé le journaliste qui a parlé de ses propres sentiments de violation lorsque son courriel a été piraté alors qu’il utilisait gratuitement le Wi-Fi dans un avion récemment.

L’industrie suivait de près l’affaire Apple en raison du précédent qu’elle devait établir sur plusieurs fronts. Le sentiment général était que si cela peut arriver à Apple, cela peut arriver à n’importe quelle entreprise. C’est une démarcation subtile entre protéger la sécurité physique des gens tout en compromettant leur sécurité personnelle. Apple le faisait pour nous tous – en prenant position pour que nos données privées le restent.

Il s’est avéré que ce n’était pas le cas qui créait un précédent auquel nous nous attendions, mais le cas viendra où une entreprise refusera les portes dérobées et ne pourra pas être piratée, mais sera légalement contrainte par le gouvernement de coopérer, et les ramifications d’une telle affaire se feront sentir pendant des années à venir, quel que soit le résultat.

Par Chris Peel, vice-président de l’ingénierie, Echoworx

Cet article a été publié à l’origine dans SC Magazine.