Le déblocage de l’iPhone par le FBI pourrait contraindre Apple à passer à l’attaque
Etats-Unis
Les autorités américaines affirment être parvenues à accéder au contenu de l’iPhone de la tuerie de San Bernardino. Apple pourrait exiger de connaître la méthode utilisée
L’annonce par le FBI, lundi, du déverrouillage réussi de l’iPhone du responsable présumé de la tuerie de San Bernardino pourrait totalement inverser son duel avec Apple. Si le Bureau fédéral d’enquête, le FBI, n’exige plus l’aide de la société dirigée par Tim Cook pour accéder au contenu du smartphone, c’est paradoxalement Apple qui risque de demander l’aide des autorités. En effet, la marque à la pomme, qui joue sa réputation dans cette affaire, a tout intérêt à comprendre comment le FBI a réussi à contourner ses systèmes de sécurité.
Lire aussi: Apple contre le FBI, trois questions posées par le déblocage de l’iPhone
Pour le FBI, l’affaire est close. Dans un communiqué, il affirme avoir «accédé avec succès aux données stockées sur l’iPhone de (Syed) Farook et n’a donc plus besoin de l’assistance d’Apple». En décembre 2015, l’homme avait abattu 14 personnes à San Bernardino (Californie), en compagnie de son épouse. Tous deux avaient ensuite été abattus par la police. Une police qui, depuis, cherchait à en savoir plus sur le tueur mais se heurtait au chiffrement mis en place par Apple sur cet iPhone 5s doté de la version 9 du système iOS. Le 16 février, le FBI avait ainsi lancé une injonction judiciaire pour forcer Apple à coopérer. «Notre décision de mettre fin à la procédure est basée seulement sur le fait qu’avec l’assistance récente d’un tiers, nous sommes maintenant capables de débloquer cet iPhone sans compromettre les informations dans le téléphone», a écrit le FBI.
Lire également: Apple et le FBI se sont battus devant le Congrès
Pression sur le FBI?
Fin de l’histoire selon les autorités américaines. Mais sans doute pas pour Apple. La semaine passée, alors que le FBI affirmait qu’il avait peut-être trouvé un moyen d’accéder à l’iPhone sans risquer d’effacer les données, les avocats d’Apple avaient affirmé qu’ils réfléchissaient au moyen de contraindre le FBI à lui dire comment il allait s’y prendre. Lundi, la firme de Tim Cook n’a pas évoqué cette possibilité. Selon le site spécialisé «Wired», Apple risque de se heurter à un mur: si le gouvernement estime que la technique utilisée par le FBI doit demeurer secrète, la société ne pourra prétendre à une aide de la part du FBI. L'agence Bloomberg faisait, lundi, la même analyse: selon une nouvelle législation édictée par l'administration Obama, les autorités peuvent décider, de cas en cas, si les détails d'une vulnérabilité doivent être communiqués à une société. Mais si la sécurité nationale devait être compromise, la société de Tim Cook pourrait ne rien apprendre du FBI.
Du coup, Apple pourrait être contraint de modifier sa stratégie par rapport aux bugs existant dans ses systèmes. Jusqu’à présent, la société affirmait officiellement ne pas rémunérer les personnes ou sociétés lui annonçant la découverte de failles dans ses logiciels. Cette stratégie a pu inciter des individus à monnayer leurs découvertes non pas auprès d’Apple, mais d’organismes tiers aux intentions douteuses.
Payer pour les failles
Et c’est sans doute ainsi que le FBI a pu bénéficier de l’aide d’une tierce partie – le nom de la société israélienne Cellebrite a été évoqué, sans qu’une confirmation officielle n’ait suivi. «A mon avis, rémunérer les découvreurs de failles est une bonne chose, beaucoup d’autres sociétés le font. Mais je ne suis pas certain que ce cas incite Apple à modifier sa politique», estime Julien Probst, responsable de la société de sécurité informatique Sysmosoft, à Yverdon.
Une autre spécialiste est du même avis: «Surtout lorsque les enjeux sont si importants, si Apple veut continuer à être compétitif, il doit moderniser son approche», estimait récemment Katie Moussouris, responsable de HackerOne, société qui aide Yahoo!, Dropbox ou encore Uber à rémunérer ceux qui découvrent des failles, dans les colonnes du New York Times. De son côté, Tristan Leiter, architecte sécurité chez Navixia, à Ecublens (VD), est plus prudent: «Il n'y a aucune information vérifiée à ce stade sur la méthode utilisée pour accéder aux données. Le FBI avait un accès illimité à l'appareil, ce qui donne d'autres possibilités d'accès (force brute, forensics, etc.) beaucoup plus intrusives que l’exploitation d’une vulnérabilité à distance. Du coup, il n’est pas du tout sûr que si Apple avait eu un plan de rémunération des découvreurs de failles cela aurait changé le résultat final.»
Si Apple ne fait qu’indiquer les noms de ses aides sur son site web pour les remercier, d’autres sociétés sont plus généreuses. Google a ainsi versé plus de 6 millions de dollars à des tiers depuis 2010. Elle offre actuellement 100 000 dollars pour toute tentative réussie de pénétrer dans ses ordinateurs Chromebook.
En avance sur Android
Apple devra aussi gérer les possibles dégâts d’image liés à cette affaire. Même si le FBI n’a pas fourni la preuve de son intrusion dans l’iPhone, le fait qu’il ne demande plus rien à Apple indique que ses téléphones ne sont pas inviolables. «Je pense que la société n’a pas trop à craindre en termes de réputation, poursuit Julien Probst. Les niveaux de sécurité entre les smartphones Android et les iPhones sont encore très différents. Apple a le privilège de développer le matériel et le logiciel, ce qui offre un meilleur contrôle sur la sécurité globale de l’appareil. Tandis que des centaines de sociétés fabriquent des smartphones avec Android, ce qui accroît les risques de failles.» Julien Probst estime ainsi que cette affaire ne devrait pas affecter les ventes d’iPhone.
Lire aussi cette analyse: Ce que le FBI demande réellement et qu’Apple refuse de faire obstinément
Même sans menace commerciale précise, Apple va agir. Lundi, la société réaffirmait son intention «de continuer à augmenter la sécurité de nos produits alors que les menaces et attaques contre nos données deviennent plus fréquentes et sophistiquées». La semaine passée, la société a ainsi mis à disposition la version 9.3 de son système d'exploitation, corrigeant entre autres une faille découverte par une société de sécurité basée en Italie. En parallèle, Apple a récemment recruté un étudiant belge de l'EPFL, Frédéric Jacobs, pour travailler au cœur de ses systèmes de sécurité.
Lire également: Frédéric Jacobs, les libertés digitales à tout prix
