Find My Device et Find My Friends, c’est fini : à sa conférence annuelle des développeurs (WWDC) en ce début juin 2019, Apple a annoncé la fusion des deux fonctionnalités de géolocalisation en une nouvelle application, sobrement nommée « Find My ». Elle sera disponible sur macOS et iOS 13 avec le lancement de macOS Catalina à l’automne.
Comme leurs noms l’indiquent, Find My et ses prédécesseurs permettent aux utilisatrices et utilisateurs Apple de localiser leurs appareils ou leurs amis qui y consentent. Ce sont donc des services assez sensibles sur le plan de la vie privée.
Comparé à l’ancien Find My Device, le nouveau Find My n’a plus besoin que l’appareil soit connecté à Internet (une situation rare en cas de vol de MacBook, par exemple, qui n’a pas de forfait 4G). À la place, un système permet à tous les appareils Apple des environs de relayer sa position grâce à des signaux Bluetooth. Au-delà de la complexité technique du procédé, certains experts en sécurité informatique ont pu froncer les sourcils. Un tiers ne pourrait-il pas s’en servir pour espionner le MacBook à la trace ? Et que dire de toutes ces données de géolocalisation uploadées en permanence dans les serveurs de Cupertino ?
D’après les informations communiquées par Apple, Find My serait conçu pour pallier ces inquiétudes. Certes, on ne peut pas évaluer avec certitude la solidité d’un système cryptographique sans l’avoir sous la main ; Find My est encore en cours de peaufinement et restera a priori en source fermée, uniquement accessible par Apple. Mais si la firme à la pomme fait correctement son travail, le système qu’elle propose semble tout à fait à la hauteur de ses ambitions.
Voici comment il fonctionnerait, d’après les entretiens que nous avons pu mener à la WWDC et les différentes informations publiées par Apple.
Boîtes publiques et clés privées
La clé de voûte de Find My est une technique cryptographique inventée dans les années 70, très commune et somme toute assez merveilleuse. Il s’agit de la cryptographie asymétrique (cryptographie à clé publique), que l’on retrouve autant pour sécuriser le protocole HTTPS sur le Web que dans le chiffrement PGP des emails. Elle permet de résoudre un problème bien connu des cryptographes.
Admettons qu’Alice veuille envoyer un message chiffré à Bernard, et qu’elle veuille que seul Bernard puisse le lire. Avant, il fallait qu’elle trouve une façon sécurisée pour lui donner à l’avance sa clé privée, qui permet à la fois de chiffrer et de déchiffrer le message. Vous avez bien lu : avant de pouvoir vraiment se parler en secret, il fallait déjà pouvoir se parler en secret… Cette situation ubuesque était aussi très embêtante du fait qu’on était obligé d’être déjà « ami » avec Alice pour discuter avec elle de façon chiffrée.
Avec la cryptographie à clé publique, n’importe qui peut envoyer un message chiffré à Alice que seule elle pourra lire. En effet, il n’y a pas une seule clé qui permet à la fois de chiffrer et de déchiffrer un message. Il y en a deux : la clé publique pour chiffrer, qu’Alice met à la disposition de tous, et la clé privée pour déchiffrer, que seule Alice possède.
On peut se représenter la clé publique comme une boîte ouverte, dans laquelle tout un chacun peut mettre son message à chiffrer. Mais quand on referme la boîte, elle se verrouille automatiquement. Impossible alors de la rouvrir si on ne possède pas la clé privée, qui permet alors de déchiffrer le message. Les clés publiques et privées doivent ainsi être créées par paire par Alice, et des techniques mathématiques sont utilisées pour qu’on ne puisse pas deviner la clé privée simplement en regardant la boîte.
Comment diable fait Apple
Vous devez posséder au moins deux appareils Apple pour que Find My fonctionne. On supposera par la suite que vous avez un MacBook et un iPad. Lorsque vous activez Find My, vos MacBook et iPad se mettent d’accord sur une clé privée unique. Ils se la partagent par voie chiffrée et la gardent chacun bien au chaud, en local et que sans personne ne puisse y avoir accès. Cette clé ne bougera pas pour toute la durée de la procédure.
Par la suite et dès qu’il est allumé (même fermé ou en veille), le MacBook émet régulièrement des ondes Bluetooth vers son environnement. Ces petites salves d’ondes voyagent à une dizaine de mètres de portée s’il n’y a pas de mur à traverser. Tel un phare qui diffuse de la lumière, il communique ainsi sa clé publique, la boîte pouvant être ouverte avec la clé privée qu’il avait secrètement échangée avec votre iPad.
Il y a une petite subtilité : le Mac change de clé publique à intervalle régulier. Oui. « Pour des raisons de sécurité », Apple ne souhaite pas dire à quelle fréquence, mais précise que cela serait fait « intelligemment ». Cela signifie qu’on ne peut pas « reconnaître » votre Mac en suivant ses ondes Bluetooth. Et pourtant, grâce à un brin de sorcellerie mathématique, les boîtes différentes qu’émettra successivement le Mac pourront toutes être ouvertes avec la clé privée qu’il y a sur votre iPad. Par ailleurs, votre iPad changera de clé publique au même rythme et avec la même séquence que votre Mac.
Les ondes Bluetooth de votre MacBook sont automatiquement captées par les autres appareils Apple situés dans les environs. Si l’iPhone d’un passant voit la clé publique de votre Mac, il en fait deux choses. D’une part, il utilise la clé publique de votre Mac pour mettre sa propre géolocalisation dans une boîte qu’il ferme. D’autre part, il prend la clé publique et la fait « hacher », c’est-à-dire qu’il la fait passer par un algorithme pour en ressortir un résultat cryptographique unique et indéchiffrable. (Les mots de passe, par exemple, sont aussi hachés lorsqu’ils sont stockés dans des plateformes.)
L’iPhone du passant prend ces deux données — sa géolocalisation dans une boîte, et la clé publique hachée — et les envoie aux serveurs d’Apple. La firme de Cupertino ne peut pas ouvrir la boîte, car seuls vos appareils disposent de la clé privée pour ce faire. La clé publique hachée sert elle d’identifiant, mais Apple ne peut pas non plus en faire grand-chose, d’abord parce qu’elle est hachée et ensuite parce que la clé publique du Mac change tout le temps. A fortiori, un hackeur qui ferait fuiter les serveurs d’Apple ne verrait qu’un tas de données chiffrées et illisibles.
La firme de Cupertino ne peut pas ouvrir la boîte, car seuls vos appareils disposent de la clé privée
Que faire si votre MacBook disparaît ? Eh bien, le système fait que votre iPad a toujours la même clé publique que le Mac. Quand vous utiliserez Find My depuis votre iPad, ce dernier hachera sa clé publique et demandera aux serveurs d’Apple s’ils ont enregistré une clé hachée similaire. Si les serveurs la retrouvent, ils prendront la boîte correspondante et la donneront à votre iPad. Ce dernier l’ouvrira avec sa clé privée et retrouvera la géolocalisation de l’iPhone qui a vu votre MacBook pour la dernière fois — sans divulguer quoi que ce soit de l’iPhone servant de relai.
Ce dernier paragraphe couvre peut-être la partie la plus ambiguë de l’explication d’Apple. L’entreprise a bien précisé qu’elle ne stocke qu’une seule géolocalisation par appareil, sans détailler comment elle s’y prend vu que les clés publiques changent régulièrement. « Je leur donne neuf chances sur dix de réussir à le faire correctement, estime le cryptographe Matthew Green auprès du magazine WIRED. Je n’ai jamais vu personne déployer quoi que ce soit du genre sur un milliard de personnes. Les techniques en tant que telles sont plutôt bien connues d’un point de vue scientifique, mais les implémenter en pratique serait assez impressionnant. »
Bien sûr, les voleurs de MacBook peuvent toujours trouver des parades : éteindre complètement le Mac ou alors utiliser un brouilleur Wi-Fi, qui noiera également les signaux Bluetooth sous des ondes radio. Rendez-vous à la sortie d’iOS 13 et macOS Catalina pour juger plus concrètement de l’efficacité du système, en espérant qu’Apple offrira entre-temps une documentation technique plus précise et détaillée.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.