iPhone : ce qui n’est pas chiffré, ce qui l’est, et ce que cela signifie pour vos données

Anthony Nelzin-Santos |

L'article suivant a été publié à l'origine le 20 février 2016. Nous le remettons en avant pour expliquer les mesures de confidentialité de l'iPhone et d'iCloud toujours en cours alors qu'Apple fait face à une nouvelle affaire similaire à celle de San Bernardino — l'affaire de Pensacola — et que Reuters affirme qu'un projet de chiffrement de bout en bout des sauvegardes iCloud a été annulé.


« Plus une technologie devient personnelle, plus elle doit protéger la vie privée », clame Apple. Alors que les instigateurs des attentats du 13 novembre ont peut-être utilisé des téléphones chiffrés, et que le FBI bute sur l’iPhone de l’un des tueurs de San Bernardino, ces mots prennent un sens particulier. Mais que veulent-ils vraiment dire ? Les produits d’Apple, à commencer par l’iPhone, protègent-ils vraiment votre vie privée ?

iCloud, un accès distant aux données locales

Un livre blanc de 60 pages, un site dédié, deux lettres ouvertes de Tim Cook… Si l’attachement de la firme de Cupertino à la sécurité et à la vie privée de ses clients est sans doute sincère, il ne fait pas un mauvais argument commercial. « Tous nos produits sont conçus pour respecter la vie privée », dit-elle ainsi dans une de ses phrases aux sous-entendus lourds de sens.

Mais ce respect n’est pas sans limites : en même temps qu’elle assure que « les informations personnelles qui figurent sur vos appareils doivent être protégées et ne jamais être communiquées sans votre accord », Apple « se soumet aux injonctions et aux mandats de perquisition valides. » Ainsi dans l’« affaire San Bernardino », la firme de Cupertino a fourni toutes les données « en sa possession » exigées par le FBI, de l’aveu même de Tim Cook.

Ces données, ce sont justement celles qui ne figurent pas sur vos appareils, autrement dit celles qui figurent dans le nuage. Ou, plus précisément, celles qui figurent dans la sauvegarde iCloud de votre appareil : il s’agit du point faible de l’édifice sécuritaire d’Apple, une lézarde qui permet à un utilisateur malchanceux autant qu’étourdi de récupérer ses données après avoir perdu son appareil et son mot de passe iCloud.

Quelques-unes des demandes du FBI.
Quelques-unes des demandes du FBI.

Cette lézarde peut aussi profiter à des malfrats : le « Celebgate » a bien montré comment les données des sauvegardes étaient préservées, et pouvaient donc être récupérées, même après avoir remis le mot de passe à zéro en répondant aux questions de sécurité. C’est que « le mot de passe iCloud de l’utilisateur n’est pas utilisé pour le chiffrement, de manière à ce que le changement du mot de passe n’invalide pas les sauvegardes existantes. »

Bien sûr, la validation en deux étapes complique énormément la tâche d’un malandrin de passage, qui devrait aussi prendre le contrôle de votre numéro de téléphone pour accéder à votre compte iCloud. Elle empêche même les employés AppleCare de remettre le mot de passe à zéro, ce qui prévient tout détournement par ingénierie sociale, et protège la société d’elle-même.

Apple communique bien le contenu des sauvegardes iCloud

Mais elle n’est d’aucun secours face à un ingénieur mandaté par sa direction, elle-même confrontée à une injonction, pour extraire une sauvegarde. Puisque le mot de passe iCloud n’est pas utilisé pour le chiffrement, il n’est pas nécessaire au déchiffrement, pas plus que le code de sécurité de l’appareil. Toutes les clefs nécessaires au déchiffrement des données sont stockées à l’intérieur du paquet de sauvegarde, lui-même chiffré avec une clef en possession d’Apple.

Si elle ne le dit jamais clairement, la société ne s’en cache pas non plus. Un lecteur attentif de son « approche de la confidentialité » pourrait même remarquer qu’elle évoque la manière dont la sauvegarde iCloud sape l’effort de chiffrement de bout en bout des messages — « bien que vos messages iMessage et vos SMS soient sauvegardés sur iCloud », dit-elle…

Sa page sur les « demandes d’information » des autorités est sans doute plus explicite : « quand nous répondons à une Demande de compte, cela implique la plupart du temps la communication d’informations sur le compte iCloud d’un client. » Citée par Le Monde, la sous-direction de la lutte contre la cybercriminalité ne le dit pas autrement :

Dans sa réponse à la DCPJ, la sous-direction de lutte contre la cybercriminalité (SDLC) notait quant à elle que des discussions entre le ministère de l’intérieur et Apple ont eu lieu et ont permis de trouver un moyen de « contourner » le problème. La société s’est en effet dite « disposée à communiquer aux enquêteurs français dans le cadre d’une urgence vitale avérée ou d’une menace terroriste le contenu d’un iPhone sauvegardé dans le nuage ». Les téléphones d’Apple sont pourvus d’une fonction de sauvegarde automatique sur les serveurs de l’entreprise, qui permettent par exemple à l’utilisateur de récupérer ses données lorsqu’il perd son téléphone… Et aux policiers de faire de même, à condition que cette sauvegarde ait été activée par l’utilisateur.

Cela ne veut pas dire que toutes vos données peuvent être récupérées de la sorte. Certes, les sauvegardes iCloud contiennent de nombreux éléments : les SMS et messages donc, mais aussi l’historique des appels, la messagerie vocale visuelle, les contacts et calendriers, les données HealthKit, ainsi que les photos et vidéos dans la « pellicule ». Mais leur récupération ne permet pas de faire « tomber » d’autres comptes, puisque les mots de passe enregistrés par le système sont protégés de manière spécifique.

Même si vous n’utilisez pas le Trousseau iCloud, le trousseau est sauvegardé dans le nuage. Mais comme toutes les données des applications tierces, il est chiffré à l’aide de l’UID, une clef 256 bits irrévocablement liée au matériel lors de sa fabrication. Unique à chaque appareil, cette clef n’est connue ni d’Apple ni de ses fournisseurs, et ne peut pas être modifiée ni extraite. Le trousseau ne peut donc être déchiffré sur un autre appareil que celui dont il provient — et si vous utilisez le Trousseau iCloud, il ne peut pas être déchiffré sans passer trois couches distinctes de sécurité.

L’accès à l’appareil reste incontournable

C’est bien parce que la sauvegarde iCloud est « incomplète » que dans l’« affaire San Bernardino », le FBI réclame l’accès complet à l’appareil lui-même. De nombreuses données ne pouvant être déchiffrées ailleurs que sur l’appareil lui-même, le FBI demande à ce qu’Apple l’aide à :

(1) contourner ou désactiver la fonction d’effacement automatique [de l’appareil après l’entrée de dix codes erronés] qu’elle ait été activée ou pas ; (2) permettre au FBI d’entrer des codes sur l’appareil par le biais d’un connecteur physique, en Bluetooth, en Wi-Fi, ou par tout autre protocole disponible sur l’appareil ; (3) s’assurer que lors de l’entrée de codes par le FBI sur l’appareil, le logiciel exécuté par l’appareil n’introduise pas volontairement un délai supplémentaire à celui imposé par le matériel entre chaque tentative.

Car le code de verrouillage est le seul obstacle à l’accès complet au matériel — or il est activé sur une grande majorité des iPhone en circulation. Ce code est « mélangé » à l’UID de l’appareil : toute tentative d’attaque par force brute doit donc être réalisée sur l’appareil lui-même, ce qui justifie la deuxième demande du FBI.

La manière dont ce « mélange » est réalisé impose un délai — matériel — de 80 millisecondes entre chaque tentative. Sans compter le temps que prend l’entrée d’un code, il faut ainsi près d’une demi-heure pour tester tous les codes à quatre chiffres, près d’une journée pour tester tous les codes à six chiffres, et plusieurs années pour casser un code alphanumérique simple.

Les choses se compliquent sensiblement si l’utilisateur a activé l’effacement des données après dix tentatives erronées. Après la quatrième tentative, le système ajoute un délai d’une minute, puis de cinq minutes après la cinquième, de quinze minutes pour les trois suivantes, et enfin d’une heure après la neuvième. À la dixième tentative erronée, toutes les données sont effacées.

Un extrait du livre blanc sur la sécurité diOS.
Un extrait du livre blanc sur la sécurité d’iOS.

Sur les appareils les plus récents (à partir de l'iPhone 5s et de l'A7), ce délai est régi par la Secure Enclave, qui possède son propre UID. La Secure Enclave ajoute une couche de complexité supplémentaire : non seulement elle retient le délai entre deux redémarrages, mais elle le fait repartir à zéro, « punissant » ainsi les éventuelles manipulations de la batterie. Le téléphone qui intéresse le FBI dans l’« affaire San Bernardino » est l'iPhone 5c, et ne possède donc pas de Secure Enclave, ce qui explique que l’agence demande seulement de contourner des fonctions logicielles.

L’iPhone, un appareil plutôt bien sécurisé

Si Apple refuse les demandes du FBI, c’est qu’elles mettraient en péril l’intégrité physique d’un iPhone — et donc tout son édifice sécuritaire. « Les informations personnelles qui figurent sur vos appareils doivent être protégées », dit-elle : si les informations stockées dans le nuage ne sont pas à l’abri, il lui faut faire en sorte que les informations stockées uniquement sur les appareils le soient. Ou, du moins, le soient un peu plus : aucune muraille n’est invincible, mais Apple a construit des murs assez épais pour que les attaques frontales ne soient pas rentables.

À vous d’en colmater les brèches : coupez la sauvegarde iCloud et utilisez plutôt la sauvegarde iTunes, qui applique 10 000 passes PBKDF2 au mot de passe long et complexe que vous aurez choisi pour la protéger. Activez FileVault sur la machine qui abrite votre sauvegarde iTunes, et vous ajouterez une ligne de défense contre les attaques par force brute. Utilisez un code à six chiffres sur votre iPhone, voire un code alphanumérique : si vous utilisez Touch ID, vous ne devrez pas le taper bien souvent.

Vos données privées seront ainsi mieux protégées… sauf si le FBI parvient à imposer ses vues.

avatar dexter | 

@maelade

Ni plus ni moins de choses à cacher qu’une personne qui ferme la porte quand elle va aux WC dans un lieu public ou chez lui en famille...

Est-ce qu’on lui demande si elle a des choses à cacher ? Non.

avatar fousfous | 

@maelade :
Imagine tu fais pas parti d'un minorité non reconnu comme l'était les homosexuel il y a un certains temps
Rien que ça justifie le fait qu'il faut se protéger

avatar cham | 

Je viens de "perdre" mon iPhone, je suis plus serein pour mes données personnelles d'avoir activé l'effacement après 10 codes.
Maintenant, j'aimerais m'assurer que l'iPhone ne sera pas utilisable, même effacé/réinitialisé, vous savez comment faire ?
PS: ça s'est passé à l'étranger donc data désactivée, localiser mon iphone / déclarer perdu n'a pas fonctionné.

avatar Yoskiz (non vérifié) | 

@cham :
Je pense que personne ne pourra utiliser ou réinitialiser ton iPhone perdu.
Effectivement, comme tu as "Localiser mon iPhone" d'activé il n'est pas possible de le restaurer sans désactiver cette fonction et comme il faut le mot de passe de ton ID Apple... impossible donc.

D'autres personnes peuvent confirmer ou infirmer si je me trompe.

avatar XiliX | 

@cham :
Si en plus tu as activé localiser mon iPhone, alors le voleur ne peut rien faire avec...

avatar imrfreeze | 

A la lecture de l'article on ne comprend pas bien ce qui est sur le téléphone uniquement !

avatar iphonophile | 

@cham :
Vas sur le site iCloud ou même l'application localiser mon iPhone d' un de tes proches. Sans te connecter, tout en bas il y a écrit " état du verrouillage d'activation ". Tu clic et tu rentre le numéro imei. Il te diront si il est utilisable avec un autre compte iTunes ou si il est bloqué.

avatar cham | 

Merci pour le conseil, apparemment il est verrouillé.

avatar iphonophile | 

@Yoskiz :
J'avais oublié de faire celui avec Time machine justement, mais oui j'y est remédié. Je n'ai pourtant absolument rien à caché aux autorités, mais aux voleurs et encore plus aux hackers, si ça peut leurs donner du fil à retordre jusqu'à abandonné leurs intentions, je mettrait autant de bâtons dans les roues que l'ont m'en donne les moyens.

avatar Yoskiz (non vérifié) | 

@iphonophile :
Ce sont pour les mêmes raisons que toi que je réfléchis à passer mon Mac sous Filevault...
En cas de vol, perte de mes sauvegardes, j'ai pas envie qu'on regarde mes documents même si ils n'ont aucunes valeurs...

avatar joneskind | 

@Anthony Nelzin-Santos

Tous mes vœux de bonheur ! Félicitations !

avatar spece92 | 

iCloud n'est pas chiffré ?!!

avatar adixya | 

Franchement c'est édifiant tout ca. Je suis en train de me dire que je vais annuler mes sauvegardes iCloud (et ne l'utiliser que pour le drive et pour les photos). Mais Apple a certainement moyen d'avoir des copies des anciennes sauvegardes donc ça ne sert probablement à rien, si ?
Et si je comprends bien ca veut dire qu'itunes va revenir en grâce ! Alors ca c'est la meilleure !!

avatar abioninho | 

Moi rien n'est chiffré... Bien pratique quand j'essaye de faire des clones de mes HDD... Et sinon je n'ai aucune données sensibles... TouchID sur l'iPhone et MDP 6 caractères, le même sur mes MacBook mon iMac... Rien sur l'iPad mais sinon l'ouverture de la smartcover ne suffirait pas à déverrouiller

avatar tbr | 

@iphonophile :
"Je n'ai pourtant absolument rien à caché aux autorités, mais aux voleurs et encore plus aux hackers, si ça peut leurs donner du fil à retordre jusqu'à abandonné leurs intentions, je mettrait autant de bâtons dans les roues que l'ont m'en donne les moyens."

Pareil.

Je considère mon smartphone (qui renferme mes données) avec autant d'importance que ma maison (qui renferme mes biens). J'ai acquis/obtenu/accumulé les deux (données et biens) avec autant de temps et parfois de travail difficile qu'elles valent la peine de les protéger, les unes en les chiffrant, les autres en fermant ma porte avec une clé correcte.
Un soir, je me suis fait voler une tablette que j'avais "protégée" avec un code à 4 chiffres — une rigolade pour qui sait les craquer —, une Nexus 7. J'ai eu le sentiment d'avoir été violé dans mon intimité comme on le ressent quand on s'est fait cambrioler et qu'on imagine que le voleur sait maintenant tout... pour revenir de nouveau se servir.

Depuis, je chiffre tout ce qui pourrait être "perdu" et "tombé de ma poche", dans celle d'un voleur.

avatar bellague | 

Personnellement, rien de secret dans mes appareils, bien banque.... Rien, c'est mieux ainsi.
J'avais oublié mon iPad Air 2 dans un restaurant, au bout de 2 jours, l'établissement m'a appelé, je pense que les employés n'ont pas pu l'ouvrir. Pas facile sans le code, no l'id

avatar iQuentin | 

Apple pousse quand même ses utilisateurs à protéger leurs iPhone. iOS incite au premier démarrage à activer Touch ID (ou un simple code sur les iPhone ne disposant pas de Touch ID) et l'option pour ignorer l'étape n'est évidemment pas mise en avant. Bonne initiative de leur part.

avatar XiliX | 

@Yoskiz :
Oui j'utilise l'utilitaire de disque. Dans la section "effacer" (formatage) tu peux choisir "journaliser, chiffrer"
L'utilitaire de disque va te demander de saisir un mot de passe.

Tu peux après cloner ton disque principal sur ce disque avec mot de passe...

Et oui c'est le mot de passe de la session qui sera demandé si tu démarres depuis le clone

avatar Yoskiz (non vérifié) | 

@XiliX :
Merci beaucoup !

:-)

avatar XiliX | 

@Yoskiz :
De rien (=^x^=)

avatar lpierrot | 

@XiliX
@Yoskiz :
Bonsoir, une solution alternative / complémentaire si vous êtes dans un environnement multi-os (ex: Mac OS à la maison, Windows au bureau), il existe l'outil Veracrypt (reprise de TrueCrypt).
Cet outil est conseillé par les sociétés spécialisées en cybercriminalité. Pour l'avoir mis en place (je ne peux vous donner le contexte), ça fonctionne impeccablement !!

avatar Yoskiz (non vérifié) | 

@lpierrot :
Bonsoir, merci pour l'info... j'irai y jeter un œil :-)

avatar Lightman | 

@lpierrot

Je sais que la sécurité de TrueCrypt est controversée, mais ne suis pas au fait des évolutions Veracrypt.

Cependant, le simple fait que ce logiciel soit recommandé par des gouvernements et des sociétés dont le but est de luter contre la cybercriminalité me laisse interrogatif. Même si ce soft n'est pas sous législation américaine, j'ai quand même en tête l'histoire de PGP !

avatar Timiho | 

Cool, merci beaucoup pour l'article !

avatar Malvik2 | 

Tout ceci est bien ridicule:..est ce qu'une voiture est inviolable? Non. Est ce que la plus solide des portes d'entrée est inviolable ? Non. Il en va de même pour les smartphones et leurs données. Le système d'Apple a ses défauts mais tant que la pomme ne subtilise pas dans mon dos mes données à des fins malsaines je ne vois pas pourquoi j'irais chiffrer mes sms coquins ou les photos de poufy le chien.

Faut redescendre sur terre, dès lors que vous mettez les pieds dans une grande ville vous êtes filmé à votre insu et même bientôt identifié avec simplement votre visage...personne ne semble s'en offusquer pourtant ??
Alors les données "sensibles" sur un téléphone...

avatar umrk | 

oui ... et la pieuvre Google en sait plus sur vous que vos propres parents, ou votre compagne/ votre compagnon ....

avatar adixya | 

@malvik2 : Ah non mais à ce compte la on enleve les mots de passe puisqu'on s'en fout si machin vient lire nos mails sms et regarder nos photos persos. D'ailleurs si tu veux bien je viens chez toi la semaine prochaine et je fouillerai dans tes vêtements papiers administratifs albums photos et toutes tes possessions. Et je resterai à tes côtés pour suivre tous tes faits et gestes pendant ta vie quotidienne. Ça ne te poserait pas de problème vu que tu n'as rien à te reprocher ?

avatar Sindanárië | 

@adixya

"Ah non mais à ce compte la on enleve les mots de passe puisqu'on s'en fout si machin vient lire nos mails sms et [...] Et je resterai à tes côtés pour suivre tous tes faits et gestes pendant ta vie quotidienne. Ça ne te poserait pas de problème vu que tu n'as rien à te reprocher ?"

Et tu suces aussi ? 🤔

😬

avatar babgond | 

Si on coupe le doigt, on peux déverrouiller l'iPhone non ?

avatar XiliX | 

@babgond :
Normalement non... il faut les veines vivantes

avatar Sindanárië | 

@XiliX

" il faut les veines vivantes"

🤦🏽‍♂️🧟‍♂️🧟🧟‍♀️

avatar Hideyasu | 

Et si nos données sont synchronisées par iCloud mais pas sauvegardé par iCloud ?

Par exemple entre un iPhone et un Mac, beaucoup de choses se synchronisent par iCloud.

avatar Krysten2001 | 

@Hideyasu

C’est de bout en bout ça

avatar Sgt. Pepper | 

@Hideyasu

https://support.apple.com/fr-fr/HT202303

Tout ce qui n’est pas chiffré de bout en bout est dispo Apple donc FBI &Co

avatar DarKOrange | 

@ MacG

"Utilisez un code à six chiffres sur votre iPhone, voire un code alphanumérique"

Comment peut-on définir un code alphanumérique sur un iPhone ?

avatar iphonophile | 

@DarKOrange :
Réglage. Code. Changer le code. Options de code.

avatar Giloup92 | 

@iphonophile
Merci. Je me posais la même question.

avatar imrfreeze | 

À l’issue de la relecture de cet article, j’ai toujours du mal, enfin de compte, à comprendre quelles sont les données dont les forces de l’ordre peuvent obtenir le décryptage : S’agit-il de tout le contenu de la sauvegarde iCloud, moins les données propres au trousseau ? Un article d’Appleinsider d’hier semblait suggérer que une fois le décryptage d’iCloud effectué, d’autres données étaient cryptées différemment de sorte qu’enfin de compte les données accessibles était bien moindres. Quid ?

avatar Krysten2001 | 

@imrfreeze

Va voir le site d’Apple sur le sujet ;)

avatar Sgt. Pepper | 

@imrfreeze

https://support.apple.com/fr-fr/HT202303

Tout ce qui n’est pas chiffré de bout en bout est dispo Apple donc FBI &Co

avatar Felixba | 

Si je supprime Messages sur iCloud, la synchronisation se fera toujours avec Mac?
Autre question, si j’ai bien compris les commentaires, mes sauvegardes Time Machine ne sont pas protégées sans chiffrement complet du Mac?

avatar nicopulse | 

QUESTIONS :
--> Est-on vulnérable si on a seulement activé la fonction iCloud : "LOCALISER MON IPHONE" ? (rien d'autre au niveau icloud)
--> Apple peut-elle réinitialiser le mot de passe du téléphone à distance avec simplement LOCALISER MON IPHONE d'activé ?

avatar xDave | 

@nicopulse
-Vulnérable à quoi?
-Non

Pages

CONNEXION UTILISATEUR