Apple n'a de cesse de vanter la sécurité de ses dispositifs et de ses plateformes Internet, mais les épisodes récents de surveillances à grande échelle perpétrées par les utilisateurs de l'espiogiciel Pegasus de NSO Group ont remis en cause les affirmations de la marque à la pomme. Maintenant, c'est une nouvelle affaire qui pourrait compromettre davantage Apple sur cette question. Des enregistrements secrets d'une présentation d'un représentant de PenLink ont révélé la quantité de données stockées sur iCloud qu'Apple transmet aux forces de l'ordre avec un mandat - alors que Google est en mesure de suivre un suspect à moins d'un mètre.
PenLink est une société de surveillance basée au Nebraska, aux États-Unis, qui gagnerait 20 millions de dollars par an en aidant le gouvernement américain à suivre des suspects criminels. PenLink vend également ses services aux forces de l'ordre locales, et c'est en effet lors d'une présentation commerciale que des détails sur les mandats concernant l'iCloud d'Apple sont apparus. Jack Poulson, de l'organisme de surveillance Tech Inquiry, a assisté à la conférence d'hiver de la "National Sheriff's Association", une association qui vise à élever le niveau de professionnalisme des shérifs américains. Pendant qu'il y était, il a secrètement enregistré l'événement.
Les enregistrements ont été consultés pour la première fois par Forbes. Lors de la présentation, Scott Tuma de PenLink aurait décrit comment la société travaille avec les forces de l'ordre pour suivre les utilisateurs à travers de multiples services. Tuma a fait l'éloge de l'iCloud d'Apple, le qualifiant de "phénoménal". « Si vous avez fait quelque chose de mal, je parie avec vous que je peux le trouver dans cette sauvegarde », aurait assuré Tuma. Plus loin dans sa présentation, Tuma aurait affirmé que les messages WhatsApp pourraient également être lus via les sauvegardes iCloud. Bien sûr, à condition que ceux-ci ne soient pas chiffrés.
En effet, Apple est ouvert sur ce qu'il fait en cas de subpoena (une injonction de produire une preuve émise par un tribunal ou toute autre juridiction) de l'application de la loi. Apple refuse généralement de débloquer l'iPhone d'un suspect, par exemple, mais accepte de remettre à la justice les informations des sauvegardes iCloud qui sont stockées sur ses serveurs. D'après les enregistrements de la présentation, l'enthousiasme de Tuma pour l'iCloud s'explique par une raison simple : Apple a omis de chiffrer la plateforme de sauvegarde de manière à ce que seuls les utilisateurs eux-mêmes puissent accéder à leurs données et à leurs sauvegardes.
Selon les observateurs d'Apple, une telle fonction était certes prévue, mais elle n'a jamais été mise en œuvre afin d'éviter un conflit avec le FBI. En outre, l'exposé de Tuma met en évidence la quantité de données que les autorités de poursuite pénale et les entreprises de surveillance comme PenLink reçoivent de Google, Facebook, Apple ou Snapchat. « [Google] peut me localiser à un mètre près. Je ne peux même pas vous dire sur combien d'affaires non résolues j'ai travaillé, qui datent de cinq, six ou sept ans et pour lesquelles il faut relier le suspect à un délit de fuite ou à une agression sexuelle », aurait expliqué le présentateur.
« Les forces de l'ordre peuvent "avoir vraiment de la chance" si les personnes portent leur smartphone sur elles et ont un compte Gmail - ce qui arrive très souvent », aurait déclaré Tuma, en ajoutant que dans certains cas, les données de localisation sont transmises aux forces de l'ordre presque en temps réel. En outre, selon Tuma, la manière dont les entreprises comme Apple, Google ou Facebook donnent accès aux données des utilisateurs diffère toutefois. Facebook proposerait, par exemple, un portail spécialement destiné aux forces de l'ordre. Cependant, si un enquêteur ne se reconnecte pas toutes les heures, il est bloqué.
« Cela montre à quel point Facebook est agaçant. C'est pourquoi PenLink a automatisé la connexion au portail Facebook », a déclaré Tuma. Selon les propos de Tuma, Facebook pourrait indiquer la localisation d'un suspect dans une fourchette de 18 à 30 mètres. Snapchat aurait commencé à fournir des détails de localisation précis à 4 mètres près. Toutefois, Snapchat limiterait également les demandes, ne communiquant des informations à un organisme d'application de la loi que quatre fois par jour environ. Les déclarations de Tuma montrent à quel point les sociétés de surveillance travaillant avec l'État disposent d'outils "très avancés".
Interrogé sur le sujet, l'employeur de Tuma a déclaré : « PenLink est fière d'aider les forces de l'ordre aux États-Unis et à l'international à lutter contre la criminalité. Nous ne discutons pas publiquement de la manière dont notre solution est utilisée par nos clients ». En sus, le rapport indique que la quantité de données transmises par Facebook, Google et d'autres à la police est considérable. Par exemple, un mandat de perquisition aurait donné lieu à 27 000 pages d'informations provenant du compte d'un homme sur Facebook. Tuma ne pense pas que l'accès à l'information va diminuer.
Et les sociétés qui ont caché des informations à la police ne seraient pas en mesure de présenter ces données aux annonceurs. « J'appelle toujours cela du BS [abréviation de 'bullshit'] pour cette raison ici même. Les revenus publicitaires de Google en 2020 étaient de 182 milliards de dollars », a-t-il déclaré. Jennifer Granick, conseillère en surveillance et cybersécurité auprès de l'ACLU (American Civil Liberties Union), s'est dite préoccupée par l'importante quantité d'informations que le gouvernement recueille via PenLink. « La loi exige de la police qu'elle réduise au minimum les données interceptées et qu'elle en démontre la nécessité », a déclaré Granick.
« Il est difficile d'imaginer que l'interception de 50 comptes de médias sociaux soit régulièrement nécessaire, et je me demande si la police ira ensuite voir toutes les personnes qui commentent les posts Facebook ou qui sont membres de groupes pour leur dire qu'elles ont été mises sur écoute », a déclaré Granick en référence à une déclaration de Tuma selon laquelle les 50 comptes en question ont été surveillés dans le cadre d'un procès en Californie.
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des déclarations de Tuma au sujet d'iCloud ?
Que pensez-vous de la sécurité d'iCloud et plus généralement des produits Apple ?
Voir aussi
Malgré le battage médiatique, la sécurité de l'iPhone n'est pas à la hauteur des logiciels espions de NSO Group, selon un rapport d'Amnesty International
Le lanceur d'alerte Edward Snowden et l'EFF critiquent le projet d'Apple de scanner les messages et les images iCloud, des milliers de personnes demandent à l'entreprise de suspendre ses plans
Le Parlement allemand demande à Tim Cook de reconsidérer ses projets de CSAM, estimant que le système de balayage d'Apple sape la communication confidentielle
Une deuxième société israélienne a exploité une faille d'Apple pour pirater des iPhone, le logiciel espion REIGN de Quadream a utilisé le même exploit que Pegasus de NSO Group