Apple respecte vos données personnelles
Entreprise multinationale, géant mondial de l'informatique, valorisée à quelques 645 milliards d'USD au NASDAQ, et pourtant très soucieuse de la sécurité des données personnelles de ses innombrables clients, Apple fait figure d'exemple face à beaucoup d'autres en matière de respect de la vie privée.
Là où des entreprises de gabarit équivalent axent leur business sur la vente des données personnelles de leurs clients avec pour unique défense "cela nous permet d'améliorer l'expérience utilisateur", Apple joue la différenciation en protégeant ses utilisateurs et en proposant une UX de qualité équivalente, voire meilleure.
Certaines fonctions comme Google Now sont très pratiques pour bon nombre de personnes, mais très intrusives. C'est d'ailleurs probablement pour ça qu'Apple peine à proposer un service proactif équivalent, et nous propose depuis iOS 9 un Spotlight un petit peu plus utile.
Pas de porte ouverte, même pour le Renseignement
Depuis iOS 8, l'ensemble des données présentes sur les appareils Apple est chiffré. La seule et unique personne a détenir la clé permettant l'accès aux donnés est l'utilisateur lui-même. Véritable bête noire des services de renseignement internationaux (NSA, entre autres), Tim Cook est resté sur ses positions en matière de sécurité.
Privacy is a fundamental right
En effet, la vie privée est un droit fondamental, et cette phrase qu'a prononcé Tim Cook appuie bien le désir d'Apple de garantir une sécurité à toute épreuve aux données de ses clients. Pour le CEO, les choses sont claires : laisser une porte d'entrée aux "gentils" - NSA, CIA, FBI, etc. - c'est laisser une porte d'entrée aux personnes mal intentionnées. Vous souvenez-vous de cette cyberintrusion à Washington en avril dernier, où les données de 4 millions d'agents fédéraux furent piratées ? Apple ne veut pas de ça. D'ailleurs, il est important de savoir que même Apple n'est pas en mesure d'accéder à vos données chiffrées - j'insiste sur "chiffrées", car d'autres données restent accessibles.
Plus récemment, le 20 avril 2015, Tim Cook a pu rencontrer Michael Rogers de la National Security Agency afin de discuter avec lui de la frontière ambigüe entre la vie privée et les intérêts nationaux en matière de sécurité.
Lors de cette rencontre, le patron de la NSA a évoqué un compromis - un système de double clé de déchiffrement - qui permettrait à son agence d'accéder aux données des utilisateurs, tout en "préservant leur sécurité". Pour le CEO d'Apple, c'est un faux-fuyant, et aucun compromis n'est possible. Il a d'ailleurs déclaré que "personne ne devrait avoir à choisir entre la protection de la vie privée et la sécurité, mais que nous devrions pouvoir conjuguer les deux, de manière intelligente", et que ces aspects allaient devenir de plus en plus importants au fil des années, compte tenu du volume de données contenues dans nos téléphones (Santé, messages, données bancaires, etc.).
Pour l'heure, aucun terrain d'entente n'a été trouvé entre Apple et les services de renseignement, mais une chose est sûre, Tim Cook semble bien décidé à ne pas flancher, ce qui est une très bonne chose. Je vous invite d'ailleurs à écouter l'interview - un niveau d'anglais correct est nécessaire - qui date du 7 octobre, dans laquelle il exprime très clairement son point de vue sur la question.
https://vimeo.com/143352094
Si vous souhaitez connaitre précisément les engagements d'Apple vis-à-vis des informations ponctuellement demandées par le gouvernement, je vous invite à vous rendre sur cette page. Sachez également que dans son dernier rapport "Who Has your Back ?", l'Electronic Frontier Foundation a décerné 5 étoiles à Apple pour la force de son engagement, pour le respect de la confidentialité, de la transparence, et des droits des utilisateurs.
Messages, Santé, iCloud : tout est chiffré, ou presque
Apple a récemment ajouté une page sur son site web afin d'expliquer au plus grand nombre les systèmes de sécurité utilisés au quotidien afin de garantir la sécurité de vos données. Sur cette page se trouvent plusieurs informations importantes.
Le premier point concerne les iMessages échangés entre les terminaux iOS, et de ce côté-là, quelque chose m'embête un petit peu. Sur son site, Apple insiste sur le fait que tous les messages en transit sont chiffrés de bout en bout, comme vous pouvez le voir sur le schéma - un peu complexe pour les néophytes.
En effet, si l'on se fie à ce schéma, il semblerait que tout soit mis en place afin qu'un message et sa pièce jointe ne puissent pas être interceptés et déchiffrés lors de leur transit entre deux terminaux. En revanche, à en croire un document officiel émanant d'Apple, deux éléments ne sont pas chiffrés lorsque le message est en transit : l'horodatage, ainsi que les informations de routage des notifications.
Ceci indique clairement qu'une partie des informations - si ce n'est la totalité - leur est accessible au moment où le message se situe entre l'appareil de l'expéditeur et celui du destinataire. Cette ambigüité m'intrigue, mais il s'avère compliqué d'en apprendre davantage à ce sujet.
La seconde partie de cette page concerne les données Santé, et de ce côté-là tout va très bien, Madame la Marquise. L'ensemble de vos données sont chiffrées, aussi bien celles sur votre iPhone que celles envoyées sur les serveurs d'Apple. D'ailleurs, comme je vous l'ai déjà fait remarquer dans cet article, le seul autre moyen qu'iCloud pour faire un backup de ses données Santé est de chiffrer sa sauvegarde via iTunes.
Pour la partie HealthKit, les développeurs souhaitant utiliser l'API dédiée doivent se soumettre à des restrictions au niveau de l'accès aux données, et des usages qu'ils peuvent en faire. Tout cela est réglementé par Apple, et vous pouvez trouver les informations dans ce document, en page 24 et 25.
Venons-en à iCloud, qui est un point clé de l'écosystème Apple. Chaque fichier stocké sur iCloud est divisé en plusieurs morceaux selon la fonction de hachage SHA 256 (créée par la NSA, ce qui est assez marrant et paradoxal pour le coup) et chacun de ces morceaux est chiffré en AES-128. Autant dire que sur ce coup, rien n'est fait dans la demi-mesure. Notez cependant qu'il arrive parfois qu'Apple ait recours à des fournisseurs tiers pour stocker les données iCloud, mais seul Apple dispose des clés de déchiffrement, pas de stress donc.
La stratégie d'Apple peut-elle perdurer ?
Alors qu'Apple renforce ses outils de chiffrement, et qu'elle joue depuis plusieurs années la carte de la sécurité et de la protection des données, les pressions du gouvernement à son égard se font de plus en plus nombreuses. Pas plus tard que cette semaine, le département de la justice américaine a déclaré dans un rapport que l'entreprise dirigée par Tim Cook n'avait pas de raison valable de refuser l'accès aux données contenues dans des appareils au centre d'affaires judiciaires.
La stratégie d'Apple est-elle défendable à l'échelle internationale ? Je suis en tout cas bien content que Tim Cook s'y emploie. Il est hors de question de compromettre la sécurité de tous pour une minorité malhonnête. Vous imaginez si l'on faisait ça en France ? Que les politiques votent pour une loi visant à collecter un maximum d'informations sur nous, en toute impunité, et qu'en plus le Premier ministre qualifie ça de "progrès décisif" ? Non, ce serait quelque chose de scandaleux, assurément. A moins que la sécurité et la vie privée n'intéressent personne…