La bataille entre Apple et le FBI pour les nuls (en informatique)

Mardi, un juge californien a ordonné à la société Apple de collaborer avec les services du FBI pour débloquer l'IPhone de l'un des deux auteurs des attaques de San Bernardino, qui ont fait 14 victimes. En réponse, le PDG d'Apple, Tim Cook, a affirmé que la firme allait tout faire pour combattre légalement cette décision "anticonstitutionnelle".

Que veut le FBI?

Depuis les attaques de San Bernardino, le FBI est en possession de l'Iphone de l'un des deux auteurs. Selon les forces de l'ordre, ce téléphone contiendrait des informations cruciales. Hélas pour les fédéraux, ils ne peuvent pas accéder au contenu à l'intérieur, car il est protégé par mot de passe.

Le FBI a donc demandé à Apple de leur apporter l'assistance technique dont ils ont besoin pour bruteforcer le téléphone et deviner son mot de passe.

"Bruteforcer" ?

La méthode la plus directe pour deviner un mot de passe: Tenter toutes les combinaisons possibles.

Sur un Iphone, les mots de passe d'accès ne sont composés que de chiffres, donc le trouver n'est l'affaire que de quelques dizaines de minutes pour un ordinateur qui peut tenter des millions de combinaisons par seconde. 0000, 0001, 0002, 0003, 0004, 0005...

Fastoche! Mais c'est quoi le problème?

Accrochez vous, ça devient compliqué! Depuis iOS 8, la protection par mot de passe se double d'un cryptage des contenus et d'un système qui efface les données du téléphone en cas de tentative d'accès extérieur. Après 10 mauvais mots de passe, tout est effacé. Et les chances pour le FBI de trouver le bon mot de passe en 10 tentatives sont infinitésimales.

Les fédéraux ont donc besoin d'Apple pour créer une nouvelle version de son logiciel d'exploitation, qui "oublie" cette importante mesure de sécurité, et l'installer sur le téléphone du terroriste. Apple est seul en mesure de le faire, car cette installation requiert des mesures de sécurité supplémentaires, qui appartiennent à la firme.

Une seconde. Pourquoi Apple ne donne pas simplement les informations contenues sur le téléphone ?

Pas si simple. La définition d'un bon cryptage, c'est que seul l'utilisateur peut y accéder.

Même le fabriquant d'un logiciel de cryptage ne peut pas décrypter ses propres outils. Le processus pour arriver à ce résultat est mathématiquement compliqué, mais cette vidéo (en anglais) vous aidera à comprendre rapidement pourquoi Youtube ne connaît pas votre mot de passe Youtube.

D'accord, mais on parle terrorisme là! National Security. Pourquoi Apple refuse de collaborer ?

Parce que ce n'est pas qu'une question de sécurité à l'échelle d'un petit IPhone. C'est aussi une question de vie privée à l'échelle globale. Dans l'ordonnance du juge californien, seul le téléphone du suspect de San Bernardino est mentionné. Officiellement, le FBI n'aurait accès qu'à ce téléphone.

Mais dans la pratique, les experts en sécurité d'Apple (et tous les autres) craignent que la création de ce système ne constitue une "backdoor" qui permette d'accéder à n'importe quel autre IPhone.

"Backdoor" ?

Une faille de sécurité intentionnelle. En théorie, une backdoor bien cachée permet à ceux qui la connaissent - par exemple la police - d'accéder à des informations qui restent chiffrées pour tout ceux qui ne connaissent pas la faille.

C'est sans risque, ça?

Non! Encore une fois, le diable est dans la pratique. Avec des milliards de dollars et la vie privée de millions de personnes en jeu, toute faille de sécurité, même cachée par un expert a des chances d'être trouvée et exploitée.

Donner l'accès à un IPhone au FBI permettrait peut-être de donner l'accès à tous les IPhones à quelqu'un d'autre. Ce qui n'empêche pas la police et les agences de renseignement (américaines et françaises) de demander régulièrement l'installations de backdoors "pour lutter contre le terrorisme".

Dans le cas de San Bernardino, le FBI soutien que cet accès ne constitue pas une "vraie" backdoor. C'est techniquement correct (the best kind of correct), car elle ne rend pas le cryptage d'Apple vulnérable. Mais Tim Cook répond: Toute technologie qui permet d'accéder à des informations privées est une backdoor de facto. Balle au centre.

Et moi, ça me concerne ?

C'est à vous de décider.

Dans une affaire comme celle-ci, il n'y a pas de tort et de raison, seulement des opinions. Êtes vous prêt à risquer la sécurité de vos informations privées, si la même brèche permet à la police de déjouer un attentat ?

D'un côté, le directeur de la NSA affirme que les attentats de Paris auraient été détectés à temps sans cryptage. De l'autre, Edward Snowden a prouvé que même un gouvernement n'était pas fiable une fois qu'il possédait les moyens d'envahir la vie privée de tout le monde.

Dites nous ce que vous en pensez. On en parlera dans les commentaires, sur Twitter et Facebook.