Il y a quelques jours, la nouvelle selon laquelle un juge a ordonné à Apple d'aider le Federal Bureau of Investigation (FBI) à pirater un iPhone ayant servi à l'un des suspects de la tuerie de San Bernardino a fait couler beaucoup d'encre dans les médias. Bien que cette bataille juridique se déroule au sud de la frontière, le Canada suit la chose avec intérêt, le débat qui entoure les technologies de chiffrement ayant fait bien peu de vagues jusqu'à maintenant au pays malgré les conséquences importantes qui en découlent pour quiconque possède un téléphone intelligent.

L'enjeu technique décortiqué

Le principal suspect de la fusillade de San Bernardino a créé un mot de passe pour verrouiller son téléphone, d'où le chiffrement de ses données. Le problème, c'est qu'Apple a commencé, il y a quelques années, dans le souci de protéger la vie privée de ses clients et pour des raisons de cybersécurité, à doter ses iPhone d'un logiciel de chiffrement additionnel qu'elle-même ne peut pas déverrouiller. Le système d'exploitation d'Apple requiert deux facteurs pour sécuriser et décrypter les données qui sont stockées sur le téléphone, à savoir le mot de passe choisi par l'utilisateur et une clé unique secrète de 256 bits qu'on intègre au téléphone au moment de sa fabrication. Lorsque l'utilisateur saisit le bon mot de passe, le téléphone effectue un calcul qui combine ces deux codes; si le résultat obtenu est le bon mot de passe, l'appareil et les données sont déverrouillés. Pour empêcher qui que ce soit de découvrir le mot de passe au moyen d'une attaque en force, l'appareil comporte une fonction que peut activer son utilisateur afin de limiter le nombre d'essais pouvant être tentés avant l'effacement du contenu de la clé. Si l'un de ces deux facteurs manque, les données ne peuvent plus être décryptées, et elles deviennent inaccessibles à tout jamais.

En plus de la fonction d'effacement automatique des données, Apple s'est munie d'une autre protection contre les attaques en force : les décalages. Chaque fois qu'un mot de passe est saisi sur le téléphone, il faut 80 millisecondes au système pour le traiter et déterminer s'il est exact. On vise ainsi à empêcher la saisie rapide d'un nouveau mot de passe, ce qui ralentit considérablement le délai de réaction du pirate potentiel.

Ordonnance contraignant Apple à aider les agents dans leur recherche

Le 16 février, un magistrat fédéral de Californie a sommé Apple d'aider le FBI à déverrouiller un iPhone ayant servi à l'un des auteurs de l'assaut de San Bernardino dans lequel, en décembre, 14 personnes ont trouvé la mort. L'ordonnance est assortie de la requête ex parte qui donne davantage de détails sur le raisonnement à l'appui de l'ordonnance.

Le juge a ordonné à Apple de fournir une assistance technique suffisante aux agents d'application de la loi pour les aider à accéder aux données stockées sur l'appareil. Selon le juge, cette assistance technique devrait 1) permettre de contourner ou de désactiver la fonction d'effacement automatique des données, qu'elle ait été activée ou non; 2) permettre au FBI de tester des mots de passe sur l'appareil; 3) faire en sorte que, lorsque le FBI soumet des mots de passe à l'appareil, le logiciel n'introduise pas à dessein un décalage additionnel entre les tentatives, au-delà de ce que prévoit le matériel Apple.

La réponse d'Apple

Le chef de la direction d'Apple Inc., Tim Cook, s'est opposé à l'ordonnance, déclarant qu'elle aurait des conséquences s'étendant bien au-delà du dossier juridique en cause. Il a publié une lettre dans laquelle il explique que le gouvernement des États-Unis lui demande de prendre des mesures sans précédent qui menacent la sécurité des clients. Le principal argument qu'il avance est que si une façon de contourner le code est révélée, le chiffrement pourra être vaincu par quiconque la connaît. En d'autres mots, si une telle technique était créée, elle pourrait être réutilisée à l'infini sur un nombre incalculable d'appareils.

Requête du département de la Justice pour contraindre Apple Inc. à se plier à l'ordonnance du 16 février

Le 19 février, le département de la Justice a exigé qu'un juge ordonne immédiatement à Apple de lui fournir les moyens techniques d'accéder aux données du téléphone. Le département s'est fondé sur la jurisprudence américaine pour affirmer que l'ordonnance du tribunal était légale et contraignante, et que l'urgence de l'enquête nécessitait cette requête, Apple ayant clairement fait savoir qu'elle n'avait pas l'intention de s'y conformer.

L'issue de la bataille juridique pourrait avoir une incidence considérable au Canada

Si Apple ne réussit pas à faire invalider l'ordonnance, un précédent sera créé pour les cas futurs où Apple ou d'autres entreprises de technologie pourraient être forcées de concevoir des logiciels qui minent la sécurité des téléphones plus récents. Le cas d'Apple pourrait encourager les organismes canadiens d'application de la loi à tenter de délivrer des ordonnances semblables contre toutes sortes de sociétés tierces qui exercent leurs activités au Canada, comme des entreprises de télécommunications et des fabricants de logiciels.

Le mois dernier, au Canada, le juge Sproat de la Cour supérieure de justice a rendu une décision très importante (R.  v.  Rogers Communications) pour les organisations qui font l'objet d'un mandat de perquisition ou d'une ordonnance de communication visant la divulgation de renseignements personnels sur des tiers dont le nom figure dans leurs dossiers. La Cour a conclu qu'une organisation qui fait face à une telle situation a le droit — et possiblement l'obligation — de contester l'ordonnance si celle-ci constitue une pression indue dans les intérêts privés de tiers. Cette décision vient souligner l'importance d'obtenir des conseils juridiques avant de répondre à une telle demande pour déterminer s'il y a lieu de contester l'ordonnance, particulièrement si des questions de vie privée ou de sécurité sont en jeu, comme c'est le cas dans l'affaire Apple.

Auteure

Éloïse Gratton Ad. E.
EGratton@blg.com
514.954.3106 (Montréal) / 416.367.6225 (Toronto)

Autre auteur

Joe Abdul-Massih

Compétences

Respect de la vie privée et protection des données
Cybersécurité