Reuters a annoncé aujourd'hui qu'Apple s'était incliné devant les pressions du Bureau fédéral d'investigation (FBI), qui aurait exigé que la firme de Cupertino abandonne son intention de déployer un cryptage de bout en bout pour les sauvegardes des appareils iCloud, affirmant que cela nuirait aux enquêtes.
Bien qu'Apple ait résisté aux pressions du FBI qui, en 2016, souhaitait qu'il ajoute une porte dérobée à iOS pour contourner le code qui limite les tentatives de mot de passe à dix tentatives consécutives, il n'a jamais utilisé de chiffrement de bout en bout pour les sauvegardes d'appareils iOS dans iCloud, et maintenant nous savons Pourquoi.
Extrait du rapport:
Le renversement du géant de la technologie, il y a environ deux ans, n'a jamais été signalé auparavant. Il montre à quel point Apple est prêt à aider les agences américaines d'application de la loi et de renseignement, malgré une ligne plus dure dans les litiges juridiques de grande envergure avec le gouvernement et se présentant comme un défenseur des informations de ses clients.
Selon un ancien employé d'Apple, le géant de la technologie de Cupertino était motivé pour éviter les mauvaises relations publiques et ne voulait pas être peint par les fonctionnaires comme une entreprise qui protège les criminels.
Si vous souhaitez protéger les données de votre appareil iOS des regards indiscrets et des demandes du gouvernement, abstenez-vous d'utiliser la fonction de sauvegarde iCloud jusqu'à ce qu'Apple déploie un chiffrement de bout en bout pour les sauvegardes iCloud.
"Ils ont décidé qu'ils n'allaient plus fourrer l'ours", a déclaré la personne. Un autre employé a déclaré: «un légalement l'a tué, pour des raisons que vous pouvez imaginer».
Apple admet ouvertement avoir fourni des sauvegardes d'appareils iOS d'iCloud aux agences d'application de la loi, selon le dernier rapport de transparence de l'entreprise:
Des exemples de telles demandes sont lorsque les organismes d'application de la loi travaillent au nom de clients qui ont demandé de l'aide concernant des appareils perdus ou volés. De plus, Apple reçoit régulièrement des demandes multi-appareils liées à des enquêtes sur les fraudes. Les demandes basées sur les appareils recherchent généralement les détails des clients associés aux appareils ou aux connexions d'appareils aux services Apple.
Voici ce que le chiffrement de bout en bout signifierait en termes de protection des sauvegardes des appareils iOS dans iCloud à l'abri des demandes du gouvernement, selon Benjamin Mayo de 9to5Mac:
Le chiffrement de bout en bout fonctionne en créant une clé de chiffrement basée sur des facteurs qui ne sont pas stockés sur le serveur. Cela peut signifier emmêler la clé avec un mot de passe utilisateur ou une clé cryptographique stockée sur le matériel de l'iPhone ou de l'iPad local. Même si quelqu'un piratait le serveur et avait accès aux données, les données ressembleraient à du bruit aléatoire sans avoir la clé intriquée pour le décoder.
Apple stocke actuellement les sauvegardes iCloud de manière non cryptée de bout en bout.
Cela signifie que la clé de déchiffrement est stockée sur les serveurs d'Apple. Si une entité policière vient à Apple avec une citation à comparaître, alors la société doit remettre toutes les données iCloud - y compris la clé de déchiffrement. Cela a d'autres cycles de ramifications. Par exemple, alors que le service iMessage est de bout en bout chiffré, les conversations stockées dans une sauvegarde iCloud ne sont pas.
En d'autres termes, même si la fonction Messages dans iCloud qui maintient la synchronisation de vos messages entre les appareils utilise la fin du cryptage, elle n'a aucun sens si vous activez la sauvegarde iCloud car la sauvegarde de votre appareil comprend alors une copie de la clé protégeant vos messages.
Selon Apple, cela vous permet de récupérer vos messages si vous perdez l'accès au trousseau iCloud et à tous les appareils de confiance en votre possession. "Lorsque vous désactivez la sauvegarde iCloud, une nouvelle clé est générée sur votre appareil pour protéger les futurs messages et n'est pas stockée par Apple", affirme la société dans un document d'assistance sur son site Web décrivant la sécurité iCloud.
De plus, Apple utilise le chiffrement de bout en bout iCloud de manière sélective pour des éléments tels que vos entrées d'agenda, la base de données de santé, le trousseau iCloud et les mots de passe Wi-Fi enregistrés, mais pas vos photos, fichiers dans votre lecteur iCloud, e-mails et autres catégories.
Le périphérique GrayKey utilisé pour les attaques par mot de passe iPhone par force brute.
Malgré les récentes tentatives des responsables du FBI d'accuser Apple d'aider les terroristes et les prédateurs sexuels en refusant de «déverrouiller» les iPhones, le journaliste de Forbes, Thomas Brewster, a révélé que l'agence d'application de la loi a utilisé l'outil GrayKey de GrayShift pour obtenir des données à partir d'un iPhone 11 Pro Max verrouillé. lors d'une récente enquête criminelle.
Cela ne signifie pas que les derniers iPhones d'Apple sont intrinsèquement non sécurisés ou sujets au piratage avec des outils tels que l'appareil GrayShift ou le logiciel Cellebrite, cela signifie simplement que iOS peut être piraté. Cela ne signifie nullement que le coprocesseur cryptographique Security Enclave intégré qui contrôle le chiffrement et évalue un code d'accès ou Face ID / Touch ID a été compromis.
Ce que font des outils comme GrayKey devine le mot de passe en exploitant les failles du système d'exploitation iOS pour supprimer la limite de dix tentatives de mot de passe. Après avoir supprimé ce logiciel, ces outils profitent simplement d'une attaque par force brute pour essayer automatiquement des milliers de codes d'accès jusqu'à ce que l'un fonctionne..
Jack Nicas, écrivant pour le New York Times:
Cette approche signifie que le joker dans l'affaire Pensacola est la longueur du mot de passe du suspect. S'il s'agit de six chiffres - la valeur par défaut sur les iPhones - les autorités peuvent presque certainement le casser. Si c'est plus long, ça pourrait être impossible.
Un mot de passe à quatre chiffres, la longueur par défaut précédente, prendrait en moyenne environ sept minutes à deviner. S'il s'agit de six chiffres, cela prendrait en moyenne environ 11 heures. Huit chiffres: 46 jours. Dix chiffres: 12,5 ans.
Si le code d'accès utilise à la fois des chiffres et des lettres, il y a beaucoup plus de codes d'accès possibles - et donc le cracker prend beaucoup plus de temps. Un mot de passe alphanumérique à six caractères prendrait en moyenne 72 ans à deviner.
Il faut 80 millisecondes à un iPhone pour calculer chaque supposition. Bien que cela puisse sembler petit, considérez que le logiciel peut théoriquement essayer des milliers de codes d'accès par seconde. Avec le retard, il ne peut essayer qu'environ 12 secondes.
Votre clé à retenir devrait être que le temps de traitement de 80 millisecondes pour l'évaluation du mot de passe ne peut pas être contourné par les pirates parce que cette limitation est appliquée dans le matériel par Secure Enclave.
Alors, qu'est-ce que tout cela représente?
Comme l'a noté John Gruber de Daring Fireball, si vous craignez que votre téléphone soit piraté, utilisez un mot de passe alphanumérique comme code d'accès, et non un code d'accès numérique à 6 chiffres.
Et en ce qui concerne le chiffrement, Apple affirme qu'il ne peut pas et ne renversera pas le chiffrement sur l'appareil, notant ce qui suit dans son dernier rapport de transparence:
Nous avons toujours soutenu qu'il n'y a pas de porte dérobée juste pour les bons. Les portes dérobées peuvent également être exploitées par ceux qui menacent notre sécurité nationale et la sécurité des données de nos clients. Aujourd'hui, les forces de l'ordre ont accès à plus de données que jamais auparavant, de sorte que les Américains n'ont pas à choisir entre affaiblir le chiffrement et résoudre les enquêtes. Nous pensons que le chiffrement est essentiel pour protéger notre pays et les données de nos utilisateurs.
En revenant à l'histoire de Reuters, je m'attends à des tentatives supplémentaires de la part du gouvernement américain dans le but de recueillir le soutien du public pour rendre le cryptage illégal.
Que pensez-vous du dernier Apple contre le FBI et du cryptage en général?
Faites-nous savoir dans le commentaire ci-dessous!