iPhone_san_bernardino_loi_sécurité_2018

Aux États-Unis, les législateurs ont présenté le « Secure Data Act » vendredi: un nouveau projet de loi qui empêche les organismes de surveillance de forcer les entreprises à intégrer des backdoors (ou portes dérobées) dans leurs produits et services. Le projet de loi a été présenté par les représentants américains Zoe Lofgren et Thomas Massie, avec quatre co-sponsores.

« L’U.S. intelligence et le Law Enforcement Agencies ont demandé qu’une injonction soit émise contre des individus et des entreprises pour avoir conçu une porte dérobée, affaiblissant le cryptage sécurisé de leur produit ou service. pour faciliter la surveillance électronique. », a déclaré M. Lofgren dans un communiqué de presse.

Pourquoi ce projet de loi est-il nécessaire ? Un exemple typique serait le fiasco entre le FBI et Apple sur un iPhone 5C. Le FBI a récupéré le téléphone de l’un des tireurs de l’attaque de San Bernardino à la fin de 2015, mais n’a pas pu déverrouiller l’appareil. Après avoir demandé de l’aide de la « National Security Agency » pour s’infiltrer dans le téléphone, cela n’a pas fonctionné, le FBI a alors demandé à Apple de créer une version d’iOS pour l’installer sur l’appareil en intégrant une porte dérobée. Les agents auraient pu alors contourner l’écran de saisie du code PIN de 10 tentatives.

Apple a refusé

« Entre de mauvaises mains, ce logiciel – qui n’existe pas aujourd’hui – aurait le potentiel de débloquer n’importe quel iPhone en possession de quelqu’un », a déclaré Tim Cook, PDG d’Apple. « Le FBI peut utiliser des mots différents pour décrire cet outil, mais ne vous méprenez pas: concevoir une version d’iOS qui contourne la sécurité de cette façon créerait indéniablement une porte dérobée, et bien que le gouvernement puisse prétendre que son utilisation serait limitée à cette affaire, il n’y a aucun moyen de garantir un tel contrôle.  »

La bataille est devenue rude, exigeant une ordonnance du tribunal contre Apple en vertu de la loi « All Writs Act » de 1789 et une pression exercée par le ministère de la Justice des États-Unis. Apple a proposé quatre méthodes pour accéder aux données de l’iPhone 5C, mais le FBI a plutôt choisi de demander à Apple de développer des logiciels malveillants pour ce périphérique, accordant ainsi l’accès au contenu du téléphone. Évidemment Apple a refusé.

Embauché des pirates informatiques

Finalement, le gouvernement a abandonné son procès contre Apple après que le FBI ait embauché des pirates informatiques pour créer un outil qui exploitait une vulnérabilité « zero-day » dans iOS. Apple voulait savoir comment le FBI avait « hacké » l’iPhone. Mais même les procès intentés en vertu de la « Freedom of Information Act » n’ont pas réussi à persuader le juge fédéral Tanya Chutkan de divulguer les détails, invoquant un possible vol de l’outil et une cible pour les pirates informatiques.

« Les responsables du FBI n’ont pas cherché les solutions techniques pour accéder à l’iPhone parce que le FBI a préféré obtenir un jugement établissant qu’Apple allait affaiblir le cryptage de leurs produits », a déclaré Lofgren vendredi. « Il est bien documenté que les backdoors de cryptage mettent la sécurité des données de chaque personne et entreprise en utilisant les produits ou services en question à risque. »

Lofgren a également déclaré que les portes dérobées créées pour la surveillance policière et le renseignement sont des «vulnérabilités disponibles pour les pirates informatiques». Il pointe vers la suite d’enregistrements d’appels « Recording eXpress » développée par Nice Systems, incluant un compte backdoor non documenté. Cette entrée masquée permettait aux hackers d’accéder au système et d’écouter les appels enregistrés sans autorisation.