Le Royaume-Uni supprime discrètement les recommandations en matière de chiffrement des sites web gouvernementaux,

Après avoir exigé d'Apple une porte dérobée pour accéder aux données iCloud

Le Royaume-Uni supprime discrètement les recommandations en matière de chiffrement des sites web gouvernementaux,
après avoir exigé d'Apple une porte dérobée pour accéder aux données iCloud

Le gouvernement britannique semble opérer un revirement inquiétant en matière de politique de chiffrement, en supprimant discrètement les recommandations officielles encourageant l'utilisation d'outils de chiffrement pour protéger les données sensibles. Cette décision intervient peu de temps après que les autorités ont exigé d'Apple la création d'une porte dérobée permettant d'accéder aux données chiffrées stockées sur iCloud, une demande qui a conduit Apple à désactiver sa fonction de chiffrement de bout en bout (Advanced Data Protection, ADP) pour les utilisateurs britanniques. Ce changement, repéré par l'expert en sécurité Alec Muffett, soulève des questions sur les priorités du gouvernement en matière de cybersécurité et de protection de la vie privée.

Depuis l'essor du chiffrement au milieu des années 1990, les gouvernements du monde entier ont affirmé que cette technologie de brouillage des données permettrait aux criminels et aux terroristes d'enfreindre la loi tout en échappant aux forces de l'ordre. Au fil des ans, les autorités ont toujours trouvé un moyen, qu'il s'agisse d'accéder à des sauvegardes non cryptées ou d'utiliser des logiciels espions, d'accéder aux données directement sur les appareils des particuliers.


En octobre 2023, le Centre national de cybersécurité (NCSC) du Royaume-Uni publiait encore un guide recommandant aux professionnels du droit d'utiliser des outils de chiffrement comme l'ADP d'Apple pour sécuriser leurs données. Cependant, ce document a depuis été supprimé et redirige désormais vers une page ne mentionnant plus le chiffrement, préférant promouvoir des fonctionnalités de sécurité moins robustes comme le mode verrouillage d'Apple.

Le Royaume-Uni exige d'Apple un accès dérobé aux données chiffrées sur iCloud

Cette suppression des recommandations officielles encourageant l'utilisation d'outils de chiffrement pour protéger les données sensibles coïncide avec la révélation que le gouvernement a secrètement ordonné à Apple de mettre en place un accès dérobé aux données iCloud, une mesure qui a suscité une vive opposition de la part de l'entreprise, actuellement engagée dans un recours devant l'Investigatory Powers Tribunal (IPT).

Des responsables du gouvernement britannique auraient discrètement exigé qu’Apple mette en place une porte dérobée permettant aux autorités d’accéder aux données chiffrées des utilisateurs stockées sur iCloud. Cette demande, formulée en janvier, s’appuierait sur la loi Investigatory Powers Act 2016, surnommée la « Charte des espions » (Snoopers' Charter). Selon les informations rapportées, les autorités britanniques auraient réclamé un accès « global » aux fichiers chiffrés de bout en bout hébergés sur iCloud, visant ainsi tous les utilisateurs mondiaux, plutôt qu’un accès limité à des comptes Apple spécifiques.

D’après les sources, Apple serait susceptible de cesser de proposer son service de stockage chiffré, Advanced Data Protection, aux utilisateurs basés au Royaume-Uni. Cependant, cet accès ne permettrait pas aux autorités britanniques d’obtenir indirectement des données chiffrées provenant d’autres pays, y compris les États-Unis.

Apple a averti que la création d’une telle porte dérobée pour les forces de l’ordre exposerait les données personnelles des utilisateurs à des risques accrus de piratage. Dans une déclaration, Alex Block, porte-parole du ministère de l’Intérieur britannique, a déclaré : « Nous ne commentons pas les questions opérationnelles, y compris, par exemple, la confirmation ou l’infirmation de l’existence de tels avis. »

Le NCSC publie un rapport pour renforcer la cybersécurité des professionnels du droit

En juin 2023, le NCSC (Centre national de cybersécurité) a actualisé son Cyber Threat Report for the Legal Sector dans le but d’aider les cabinets juridiques, les avocats et les professionnels du droit à mieux appréhender les menaces actuelles en cybersécurité et à évaluer l’ampleur des ciblages dont fait l’objet le secteur juridique. Les cybercriminels ne font pas de distinction lorsqu’il s’agit de choisir leurs cibles, ce qui signifie que tous les cabinets juridiques, quelle que soit leur taille, sont vulnérables. Qu’il s’agisse de praticiens indépendants, de cabinets de taille moyenne, de chambres d’avocats, de services juridiques internes ou de grands cabinets internationaux, aucun n’est à l’abri.

Les recommandations suivantes s’adressent particulièrement aux avocats exerçant seuls ainsi qu’aux petites et moyennes structures juridiques, afin de les aider à réduire les risques de cyberattaques. Les organisations de plus grande envergure sont invitées à se tourner vers leurs équipes internes en informatique ou en support technique pour des conseils adaptés.

Cette situation met en lumière un conflit croissant entre les impératifs de sécurité nationale et les droits à la vie privée. D'un côté, le gouvernement britannique justifie probablement ces mesures par la nécessité de lutter contre la criminalité et le terrorisme. De l'autre, les défenseurs de la vie privée et les experts en sécurité dénoncent une atteinte aux libertés individuelles et une fragilisation des protections numériques, essentiels dans un monde de plus en plus connecté.

La suppression des conseils en matière de chiffrement et la pression exercée sur Apple pour affaiblir le chiffrement de bout en bout pourraient avoir des conséquences néfastes, non seulement pour les utilisateurs britanniques, mais aussi pour la confiance globale dans les technologies de sécurité. Ce débat soulève des questions fondamentales sur l'équilibre entre sécurité et liberté, ainsi que sur le rôle des gouvernements dans la régulation des technologies de chiffrement.

Apple contrainte de désactiver le chiffrement de bout en bout pour les utilisateurs britanniques

Apple a annoncé qu’elle ne pouvait plus proposer au Royaume-Uni une fonction de sécurité permettant aux utilisateurs de chiffrer leurs données iCloud. Dans un communiqué, Fred Sainz, porte-parole d’Apple, a expliqué que la fonction Advanced Data Protection (ADP) ne sera plus disponible pour les nouveaux utilisateurs britanniques, et que les utilisateurs actuels devront « éventuellement désactiver cette fonctionnalité de sécurité ».

« Nous sommes profondément déçus que les protections offertes par ADP ne soient plus accessibles à nos clients au Royaume-Uni, alors que les violations de données et les menaces à la vie privée ne cessent d’augmenter », a déclaré l’entreprise. « Il est plus crucial que jamais de renforcer la sécurité du stockage en cloud grâce au chiffrement de bout en bout », a-t-elle ajouté.

Apple n’a pas précisé comment se déroulerait la désactivation de l’ADP pour les utilisateurs l’ayant déjà activée. James Baker, de l’organisation de défense des droits numériques Open Rights Group, a critiqué cette décision : « Les actions du ministère de l’Intérieur ont privé des millions de Britanniques d’une fonction de sécurité essentielle. En conséquence, les citoyens britanniques sont davantage exposés au risque de voir leurs données personnelles et leurs photos de famille volées par des criminels ou des prédateurs. »

Apple a toutefois précisé que certains types de données, comme les informations de santé, les messages iCloud et les données de paiement, qui sont chiffrées de bout en bout par défaut pour tous les utilisateurs, ne seraient pas concernés par ce changement. En revanche, les utilisateurs britanniques ne pourront plus activer le chiffrement de bout en bout pour d’autres catégories de données, telles que les photos, les notes, les sauvegardes et d’autres fichiers précédemment protégés par l’ADP.

Pour les utilisateurs ayant déjà activé l’ADP, Apple a indiqué qu’elle leur fournirait prochainement des informations supplémentaires ainsi qu’un délai pour désactiver la fonctionnalité tout en continuant à utiliser iCloud. L’entreprise a également souligné que l’ADP reste disponible pour les utilisateurs hors du Royaume-Uni, et que les services de communication chiffrés de bout en bout, comme FaceTime et iMessage, ne sont pas affectés.

« Comme nous l’avons toujours affirmé, nous n’avons jamais créé de porte dérobée ou de clé maîtresse pour aucun de nos produits ou services, et nous ne le ferons jamais », a réitéré Apple, rappelant ses précédentes déclarations.

Apple a engagé une action en justice pour contester cette injonction du gouvernement. L’ADP a cessé d’être proposée aux nouveaux utilisateurs britanniques à partir du 21 février à 15 heures, heure locale. Matthew Green, expert en cryptographie et professeur à l’université Johns Hopkins, a réagi sur X en encourageant les utilisateurs hors du Royaume-Uni à activer l’ADP sans tarder : « Plus il y aura de personnes qui l’utiliseront, plus il sera difficile de la désactiver de cette manière », a-t-il déclaré.

Le Royaume-Uni sacrifie le chiffrement au nom de la surveillance : un risque pour la vie privée et la sécurité

Le revirement du gouvernement britannique en matière de politique de chiffrement, marqué par la suppression des recommandations officielles en faveur du chiffrement et la pression exercée sur Apple pour créer une porte dérobée sur iCloud, est profondément préoccupant. Cette décision semble refléter une priorité accrue accordée à la surveillance et au contrôle des données des citoyens, au détriment de la protection de leur vie privée et de leur sécurité numérique. En exigeant d'Apple qu'elle désactive le chiffrement de bout en bout pour les utilisateurs britanniques, le Royaume-Uni fragilise non seulement la confiance des utilisateurs dans les technologies de sécurité, mais ouvre également la porte à des risques accrus de piratage et d'exploitation des données par des acteurs malveillants.

Cette approche soulève des questions fondamentales sur l'équilibre entre sécurité nationale et libertés individuelles. Si l'argument de la lutte contre la criminalité et le terrorisme est souvent invoqué pour justifier de telles mesures, il est crucial de reconnaître que l'affaiblissement du chiffrement a des conséquences bien plus larges. En créant des failles de sécurité pour les forces de l'ordre, le gouvernement britannique expose également les données des citoyens à des vulnérabilités qui pourraient être exploitées par des cybercriminels ou des régimes autoritaires.

De plus, cette décision met en lumière une tendance inquiétante à la centralisation du pouvoir et à la réduction des alternatives technologiques pour les utilisateurs. En forçant Apple à désactiver l'ADP, le Royaume-Uni limite les options des utilisateurs en matière de protection de leurs données, renforçant ainsi la dépendance à l'égard des grandes entreprises technologiques tout en sapant les efforts pour promouvoir des solutions de chiffrement robustes et accessibles.


Enfin, cette situation illustre un conflit croissant entre les gouvernements et les entreprises technologiques sur la question du chiffrement. Alors que les gouvernements cherchent à accéder aux données des utilisateurs pour des raisons de sécurité, les entreprises technologiques et les défenseurs de la vie privée soulignent l'importance de protéger les communications et les données personnelles contre toute intrusion, qu'elle soit étatique ou criminelle. Ce débat ne se limite pas au Royaume-Uni ; il a des implications mondiales, car les décisions prises par un pays peuvent influencer les politiques d'autres nations et affecter la confiance globale dans les technologies de sécurité.

En somme, le gouvernement britannique semble privilégier une approche à court terme, axée sur le contrôle et la surveillance, au détriment d'une vision à long terme qui protégerait à la fois la sécurité nationale et les droits fondamentaux des citoyens. Cette décision pourrait avoir des répercussions négatives sur la confiance des utilisateurs, l'innovation technologique et la protection des données à l'échelle mondiale. Il est essentiel que les gouvernements, les entreprises et la société civile travaillent ensemble pour trouver un équilibre entre sécurité et vie privée, sans compromettre les protections numériques essentielles dans un monde de plus en plus connecté.

Sources : Security expert Alec Muffett, NCSC(1, 2)

Et vous ?

Quel est votre avis sur le sujet ?

Comment justifier le déséquilibre entre la protection de la vie privée des citoyens et les besoins de surveillance des autorités ?

Comment les citoyens britanniques peuvent-ils protéger leurs données face à cette réduction des protections numériques ?

Voir aussi :

Apple porte plainte contre l'injonction britannique lui imposant une porte dérobée dans iCloud, après avoir retiré des fonctionnalités de chiffrement de bout en bout sur le territoire

Le chiffrement des données est confronté à des risques énormes à cause de l'informatique quantique, car celle-ci dispose de protocoles qui permettent de déchiffrer les données beaucoup plus rapidement

Le Royaume-Uni abandonne sa stratégie de régulation stricte de l'IA au profit d'une collaboration avec Anthropic pour l'aider à transformer ses services publics, après avoir torpillé l'accord sur l'IA à Paris

Le Royaume-Uni ordonne à Apple de créer une porte dérobée pour le chiffrement d'iCloud à l'échelle mondiale, un projet de surveillance de masse qui rappelle celui révélé par Edward Snowden en 2013