Un juge peut-il obliger une entreprise à pirater un de ses propres appareils ? C’est tout le débat autour de l’enquête sur l’attaque terroriste de San Bernardino. Et alors que la justice a ordonné à Apple d’aider les autorités, la firme californienne refuse catégoriquement. Tim Cook l’a expliqué dans une longue lettre : « Installer une porte secrète » aurait « des conséquences effrayantes » pour tous les clients d’Apple. Le bras de fer ne fait que commencer.

Ce que demande la justice

La justice a enfin compris qu’Apple ne peut pas déchiffrer les données d’un iPhone récent. Pour une simple raison : l’entreprise ne possède pas de copie de la clé utilisée par le système, qui stockée en local, sur l’iPhone. Du coup, le FBI veut pouvoir cracker le mot de passe utilisé par Syed Farook. Le juge a donc demandé à Apple de désactiver l’effacement automatique des données qui intervient après dix essais. Cela permettrait au FBI, avec l’aide de la NSA, de tester toutes les combinaisons possibles via une attaque en force. Si Farook a gardé un simple code à quatre chiffres, il y a 10.000 possibilités. S’il a choisi l’option d’un mot de passe alphanumérique de 12 caractères, cela fait beaucoup, beaucoup plus de combinaisons, de l’ordre de 5x10^ (23). Du coup, le FBI ne veut pas devoir taper chaque tentative à la main mais qu’Apple autorise les saisies automatiques via un programme informatique. Mais parce qu'iOS met 80 ms à vérifier chaque entrée, le temps pour cracker la clé varie d'une dizaine de minutes pour un code PIN à plusieurs millions d'années pour un mot de passe alphanumérique d'au moins huit caractères.

Ce que dit Tim Cook (et Google)

« Le FBI nous demande de fabriquer une nouvelle version de notre système d’exploitation afin de contourner des mesures de sécurité importantes. Entre les mauvaises mains, ce logiciel permettrait de débloquer n’importe quel iPhone. Cela reviendrait à créer une porte secrète, et même si le gouvernement promet qu’elle ne serait utilisée que dans ce cas, nous n’en avons aucune garantie. » Mercredi soir, il a reçu le soutien de Sundar Pichai, PDG de Google, qui a tweeté: «Forcer une entreprise à autoriser le hacking pourrait compromettre la vie privée des utilisateurs.»

« 1/5 Important post by @tim_cook. Forcing companies to enable hacking could compromise users’ privacy — sundarpichai (@sundarpichai) February 17, 2016 »

Ce que disent les experts

Tout le monde n’est pas d’accord. Selon Errata Security, il serait possible de simplement mettre à jour le firmware (un logiciel de bas niveau) du smartphone en question, un iPhone 5C, qui ne bénéficie pas des dernières mesures de sécurité intégrées directement dans le hardware. Mais un ancien ingénieur d’Apple, John Kelley, affirme que le juge pourrait forcer l’entreprise à modifier son système « d’enclave sécurisée », créant ainsi une porte dérobée fonctionnant également sur les iPhone plus récents.

Ce que disent les experts juridiques

Le juge s’appuie sur un texte de 1789, qui donne autorité aux tribunaux pour aider les forces de l’ordre. Mais la décision est allée « bien au-delà de ses prérogatives » et son action « est presque de nature législative », explique à l’AFP Jonathan Turley, professeur de droit à la George Washington University. Selon lui, « une telle décision soulèverait des questions relatives à la vie privée" et le Congrès pourrait être forcé de jouer les arbitres en votant une nouvelle loi. Dans l’immédiat, Apple devrait faire appel de la décision. L’entreprise a déjà reçu le soutien de l’Electronic Frontier Foundation, qui écrit : « Si Apple s’exécute, le gouvernement va demander la même chose à tous ceux qui ont l’audace de proposer une sécurité forte. »