L’EFF demande à Apple de jeter la clé des sauvegardes chiffrées d’iCloud
L’Electronic Frontier Foundation veut qu’Apple chiffre complètement les sauvegardes iCloud. « Fix It Already », la dernière campagne de l’EFF, exige du constructeur que les données stockées dans le nuage d’iCloud par les utilisateurs d’appareils iOS soient tout aussi protégées que celles qui sont conservées dans leur terminal.
S’il est quasiment impossible de siphonner les données présentes dans un iPhone sans avoir le code de déverrouillage, les sauvegardes iCloud sont beaucoup plus perméables. Certes, elles sont chiffrées, mais Apple en possède une clé. C’est d’ailleurs ce qui lui permet d’obtempérer aux mandats émis par la justice (pour peu que l’utilisateur stocke ses données dans iCloud).
Apple devrait aller au bout de sa logique de protection des données, estime l’EFF, qui milite pour la protection des libertés sur internet. Dans une interview donnée au Spiegel en octobre dernier, Tim Cook expliquait que la clé détenue par Apple servait à aider les utilisateurs en cas de vol ou d’oubli de leur mot de passe. Il indiquait aussi qu’à terme, cette pratique sera régulée et que le constructeur ne détiendra plus cette clé.
L’EFF appelle Tim Cook à mettre ses paroles en actes et à jeter la clé une bonne fois pour toutes. « Il est temps de permettre aux utilisateurs de choisir la sécurité et de chiffrer leurs sauvegardes iCloud dont eux seuls auront la clé ».
Apple n’est pas la seule cible dans la liste des exigences de l’organisation. Parmi les neuf mesures préconisées par l’EFF, on trouve par exemple Windows 10 qui devrait permettre aux utilisateurs de conserver pour eux la clé de chiffrement des données stockées sur le disque dur de leurs machines ; Facebook ne devrait pas utiliser les numéros de téléphone n’importe comment ; Twitter devrait chiffrer de bout en bout les messages privés ; WhatsApp devrait demander l’autorisation d’un utilisateur avant de joindre un groupe, etc.
Ce que dit l'EFF (et que ne semble pas contredire Apple) c'est que même ce qui est chiffré peut être déchiffré par la clé que conserve Apple...
les sauvegarde iclouds sont chiffrés par une clé créée par Apple et stockée par Apple.
la clé sert à chiffrer, ce qui empêche les margoulins non présents chez Apple de déchiffrer les données.
Par contre, comme Apple a la clé de chiffrement, Apple peut déchiffre à sa convenance quand elle veut, même sans vous prévenir. Et ainsi que toute personne à qui Apple donnera la clé.
Alors , certes, Timmy est le monsieur le plus gentil du monde. Mais quid du successeur de Timmy ? ou de la prochaine demande de politiciens, d'autocrates, et autres vols de données de l'entreprise ou de revente ?
-
à l'inverse, d'autres services Apple fonctionnent différemment, ils mettent en oeuvre du chiffrage "bout à bout".
pour dialoguer entre vous et le mac de votre meilleur ami, les deux machines vont se créer des clés privées (qu'on partage JAMAIS) et publiques
Apple va mettre en place un tunnel chiffré entre les deux machines, s'interdire et se rendre incapable de déchiffrer à la volée, et faire échanges les clés PUBLIQUES entre les machines (ainsi que les adresses ip)
après cela, les deux machines communiquent directement entre elles, en chiffrant les données entre elles uniquement et chacune déchiffrant l'autre via les clés publiques. Apple est HORS de l'équation, la DISCUSSION est secrète.
Notons, que par nature, principe, fonctionnement et design technique, Apple SAIT quand et avec qui vous avez discuté. Le contenu, non, mais les liens que vous avez, oui.
Ceci permet aux autorités d'avoir déjà une assez solide informations sur vous et de pouvoir éventuellement vous lier à des histoires sordides , ou d'avoir un élément pertinent si elles doivent convaincre le juge que le fait de parler à Néo-Hitler est un argument sérieux pour aller saisir votre ordi, vos clés, etc.
J'insiste donc, qu'il n'y a donc pas d'impunité totale, ni d'oppression totale dans notre monde, avec ou sans ordi, mais une sorte d'équilibre quand on parle de chiffrage bout à bout.
(les techos puristes passeront outre l'explication violemment simplifiée des clés publiques/privées, le commentaire était déjà assez indigeste comme ça , le principe étant de dire qu'il y a un lien fort entre les deux machines qui font que seul l'une peut décoder l'autre et inversement et peuvent se valider)
On insiste pas assez sur la temporalité, la fréquence, voir … la fonction d'onde — pour les bébés de l'IA, qui matérialise notre présence ou notre absence sur le Net.
Et puis alors, l'effet de la sécurisation temporelle n'est pas évoquée, bien qu'on ai vu rapidement des pendentifs de chaînettes, par exemple, générant des mots de passe, jamais les mêmes, très tôt en informatique.
Il faut se plaindre maintenant de l'utilisation abusive de notre présence sur le réseau d'un de nos «tuyaux» d'accès aux Nets, car il sont devenus des pipelines pour le harcèlement commercial, reprenant par la même les méthodes éprouvées des pires instants de la guerre froide … qui c'est vivement échaudée.
par pitié, ne confondez pas icloud, icloud drive, imessage, factime et la sauvegarde sur icloud
ce sont des services différents, avec des fonctionnements techniques différents et des enjeux politiques et sociaux différents.
Ce que je peux dire sur Facetime par exemple ne s'applique pas nécessairement à la sauvegarde icloud.
oui c'est compliqué et subtile, mais ce sont des services Apple différents.
Pages