Durant l’été 2023, face à la perspective d’un affaiblissement du chiffrement au Royaume-Uni, Apple avait adressé une mise en garde aux autorités britanniques. Si l’entreprise américaine ne peut plus assurer un haut niveau de sécurité pour ses produits et services, comme FaceTime ou iMessage, elle pourrait les retirer du marché outre-Manche.
Presque trois ans plus tard, cette menace n’a pas été mise à exécution. Apple a pris une décision qui n’en demeure pas moins spectaculaire : elle retire aux Britanniques l’une des protections les plus avancées d’iCloud, appelée « Advanced Data Protection » (Protection avancée des données).
« Apple ne peut plus proposer la protection avancée des données au Royaume-Uni aux nouveaux utilisateurs et les utilisateurs britanniques actuels devront éventuellement désactiver cette fonctionnalité de sécurité », lit-on dans un communiqué adressé à Numerama le vendredi 21 février 2025. En cause, les évolutions récentes de la législation britannique, notamment au nom de la sécurité et de la lutte contre la criminalité.
La fonctionnalité ADP est une disposition plutôt récente d’iCloud, le service d’informatique « dans le nuage » d’Apple — c’est-à-dire les serveurs distants de la société sur lesquels sa clientèle peut stocker des données, notamment à des fins de sauvegarde. Elle avait été annoncée à la fin de l’année 2022 et déployée courant 2023, mais ne concerne pas les données iMessage, FaceTime, Apple Santé ou Apple Mots de passe.
Protéger fortement iCloud via le chiffrement de bout en bout
La particularité de ce mécanisme est de reposer sur le chiffrement de bout en bout (appelé dans le jargon E2EE, pour end to end encryption). Il s’agit de l’une des protections les plus abouties pour sécuriser des données. Ce procédé fait appel à des opérations mathématiques complexes pour placer des fichiers dans un amas de données incompréhensibles.
L’idée générale du E2EE est donc de rendre totalement inaccessibles tout ce qui passe à la moulinette du chiffrement de bout en bout, lorsque l’on n’a pas une clé spéciale pour les déverrouiller — les déchiffrer. Cette clé, pour que le chiffrement soit efficace, doit demeurer tout à fait privée et secrète. Ici, Apple ne la connaît pas.
Or, dans ce cas de figure, si Apple n’est pas en mesure de la voir, Apple ne peut donc pas l’utiliser ou la communiquer, y compris sur instruction de la police ou de la justice. Cela a pour conséquence de rendre le contenu d’un compte iCloud protégé par l’ADP relativement inviolable — sauf si d’autres moyens d’accès sont mis en œuvre.
C’est ce que confirme Apple dans sa prise de parole. « L’Advanced Data Protection protège les données iCloud par un chiffrement de bout en bout, ce qui signifie que les données ne peuvent être déchiffrées que par l’utilisateur qui en est propriétaire, et uniquement sur ses appareils de confiance », est-il expliqué.
Apple refuse catégoriquement les backdoors (portes dérobées)
À ce stade, le retrait de l’ADP ne concerne que le Royaume-Uni, parce que le pays a fait évoluer récemment le panorama réglementaire. Le pays a ainsi actualisé sa loi Investigatory Powers Act (IPA) de 2016 qui confère au ministère de l’Intérieur des prérogatives renforcées dans le domaine de la sécurité dans l’espace numérique.
Or, parmi les effets de cette mise à jour de la loi IPA figure l’obligation pour les entreprises qui ne sont pas basées au Royaume-Uni de se conformer à certains changements qui affecteraient leurs activités au niveau mondial — à commencer, rappelait la BBC à l’époque, par la fourniture d’une porte dérobée pour le chiffrement de bout en bout.
D’où le coup de pression d’Apple à l’époque, avec FaceTime et iMessage, mais aussi la montée au créneau de Meta (pour protéger notamment le chiffrement de bout en bout de WhatsApp) et de Signal (pour son appli de messagerie instantanée). Signal avait esquissé la perspective de quitter les pays s’attaquant au chiffrement.
Finalement, Apple change d’approche pour le moment en renonçant à l’ADP au Royaume-Uni, à cause d’une demande des autorités, sous l’empire de l’IPA. Le groupe espère qu’il sera possible de faire marche arrière — mais si Londres accepte de revoir son approche, ce qui n’est pas certain. En matière de sécurité, la loi a tendance à ne bouger que dans un seul sens.
En attendant, Apple dit regretter la situation. « Nous sommes profondément déçus que les protections fournies par ADP ne soient pas disponibles pour nos clients au Royaume-Uni, compte tenu de l’augmentation continue des violations de données et d’autres menaces à la confidentialité des clients. Il est plus urgent que jamais d’améliorer la sécurité du stockage cloud avec un chiffrement de bout en bout. », ajoute le communiqué. Apple précise que seul ADP est concerné : FaceTime, iMessage et les mots de passe restent chiffrés.
Apple cette décision, Apple envoie un signal très clair de rejet des portes dérobées. « Comme nous l’avons déjà dit à de nombreuses reprises, nous n’avons jamais construit de porte dérobée ou de clé principale pour aucun de nos produits ou services et nous ne le ferons jamais. », conclut l’entreprise. Car le souci des backdoors, c’est qu’elles existent aussi pour les « méchants ».
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Marre des réseaux sociaux ? Rejoignez la communauté Numerama sur WhatsApp !
