Le Royaume-Uni supprime discrètement les recommandations en matière de chiffrement des sites web gouvernementaux,

Après avoir exigé d'Apple une porte dérobée pour accéder aux données iCloud

Le gouvernement britannique semble opérer un revirement inquiétant en matière de politique de chiffrement, en supprimant discrètement les recommandations officielles encourageant l'utilisation d'outils de chiffrement pour protéger les données sensibles. Cette décision intervient peu de temps après que les autorités ont exigé d'Apple la création d'une porte dérobée permettant d'accéder aux données chiffrées stockées sur iCloud, une demande qui a conduit Apple à désactiver sa fonction de chiffrement de bout en bout (Advanced Data Protection, ADP) pour les utilisateurs britanniques. Ce changement, repéré par l'expert en sécurité Alec Muffett, soulève des questions sur les priorités du gouvernement en matière de cybersécurité et de protection de la vie privée.

Depuis l'essor du chiffrement au milieu des années 1990, les gouvernements du monde entier ont affirmé que cette technologie de brouillage des données permettrait aux criminels et aux terroristes d'enfreindre la loi tout en échappant aux forces de l'ordre. Au fil des ans, les autorités ont toujours trouvé un moyen, qu'il s'agisse d'accéder à des sauvegardes non cryptées ou d'utiliser des logiciels espions, d'accéder aux données directement sur les appareils des particuliers.


En octobre 2023, le Centre national de cybersécurité (NCSC) du Royaume-Uni publiait encore un guide recommandant aux professionnels du droit d'utiliser des outils de chiffrement comme l'ADP d'Apple pour sécuriser leurs données. Cependant, ce document a depuis été supprimé et redirige désormais vers une page ne mentionnant plus le chiffrement, préférant promouvoir des fonctionnalités de sécurité moins robustes comme le mode verrouillage d'Apple.

Le Royaume-Uni exige d'Apple un accès dérobé aux données chiffrées sur iCloud

Cette suppression des recommandations officielles encourageant l'utilisation d'outils de chiffrement pour protéger les données sensibles coïncide avec la révélation que le gouvernement a secrètement ordonné à Apple de mettre en place un accès dérobé aux données iCloud, une mesure qui a suscité une vive opposition de la part de l'entreprise, actuellement engagée dans un recours devant l'Investigatory Powers Tribunal (IPT).

Des responsables du gouvernement britannique auraient discrètement exigé qu’Apple mette en place une porte dérobée permettant aux autorités d’accéder aux données chiffrées des utilisateurs stockées sur iCloud. Cette demande, formulée en janvier, s’appuierait sur la loi Investigatory Powers Act 2016, surnommée la « Charte des espions » (Snoopers' Charter). Selon les informations rapportées, les autorités britanniques auraient réclamé un accès « global » aux fichiers chiffrés de bout en bout hébergés sur iCloud, visant ainsi tous les utilisateurs mondiaux, plutôt qu’un accès limité à des comptes Apple spécifiques.

D’après les sources, Apple serait susceptible de cesser de proposer son service de stockage chiffré, Advanced Data Protection, aux utilisateurs basés au Royaume-Uni. Cependant, cet accès ne permettrait pas aux autorités britanniques d’obtenir indirectement des données chiffrées provenant d’autres pays, y compris les États-Unis.

Apple a averti que la création d’une telle porte dérobée pour les forces de l’ordre exposerait les données personnelles des utilisateurs à des risques accrus de piratage. Dans une déclaration, Alex Block, porte-parole du ministère de l’Intérieur britannique, a déclaré : « Nous ne commentons pas les questions opérationnelles, y compris, par exemple, la confirmation ou l’infirmation de l’existence de tels avis. »

Le NCSC publie un rapport pour renforcer la cybersécurité des professionnels du droit

En juin 2023, le NCSC (Centre national de cybersécurité) a actualisé son Cyber Threat Report for the Legal Sector dans le but d’aider les cabinets juridiques, les avocats et les professionnels du droit à mieux appréhender les menaces actuelles en cybersécurité et à évaluer l’ampleur des ciblages dont fait l’objet le secteur juridique. Les cybercriminels ne font pas de distinction lorsqu’il s’agit de choisir leurs cibles, ce qui signifie que tous les cabinets juridiques, quelle que soit leur taille, sont vulnérables. Qu’il s’agisse de praticiens indépendants, de cabinets de taille moyenne, de chambres d’avocats, de services juridiques internes ou de grands cabinets internationaux, aucun n’est à l’abri.

Les recommandations suivantes s’adressent particulièrement aux avocats exerçant seuls ainsi qu’aux petites et moyennes structures juridiques, afin de les aider à réduire les risques de cyberattaques. Les organisations de plus grande envergure sont invitées à se tourner vers leurs équipes internes en informatique ou en support technique pour des conseils adaptés.

Cette situation met en lumière un conflit croissant entre les impératifs de sécurité nationale et les droits à la vie privée. D'un côté, le gouvernement britannique justifie probablement ces mesures par la nécessité de lutter contre la criminalité et le terrorisme. De l'autre, les défenseurs de la vie privée et les experts en sécurité dénoncent une atteinte aux libertés individuelles et une fragilisation des protections numériques, essentiels dans un monde de plus en plus connecté.

La suppression des conseils en matière de chiffrement et la pression exercée sur Apple pour affaiblir le chiffrement de bout en bout pourraient avoir des conséquences néfastes, non seulement pour les utilisateurs britanniques, mais aussi pour la confiance globale dans les technologies de sécurité. Ce débat soulève des questions fondamentales sur l'équilibre entre sécurité et liberté, ainsi que sur le rôle des gouvernements dans la régulation des technologies de chiffrement.

Apple contrainte de désactiver le chiffrement de bout en bout pour les utilisateurs britanniques

Apple a annoncé qu’elle ne pouvait plus proposer au Royaume-Uni une fonction de sécurité permettant aux utilisateurs de chiffrer leurs données iCloud. Dans un communiqué, Fred Sainz, porte-parole d’Apple, a expliqué que la fonction Advanced Data Protection (ADP) ne sera plus disponible pour les nouveaux utilisateurs britanniques, et que les utilisateurs actuels devront « éventuellement désactiver cette fonctionnalité de sécurité ».

« Nous sommes profondément déçus que les protections offertes par ADP ne soient plus accessibles à nos clients au Royaume-Uni, alors que les violations de données et les menaces à la vie privée ne cessent d’augmenter », a déclaré l’entreprise. « Il est plus crucial que jamais de renforcer la sécurité du stockage en cloud grâce au chiffrement de bout en bout », a-t-elle ajouté.

Apple n’a pas précisé comment se déroulerait la désactivation de l’ADP pour les utilisateurs l’ayant déjà activée. James Baker, de l’organisation de défense des droits numériques Open Rights Group, a critiqué cette décision : « Les actions du ministère de l’Intérieur ont privé des millions de Britanniques d’une fonction de sécurité essentielle. En conséquence, les citoyens britanniques sont davantage exposés au risque de voir leurs données personnelles et leurs photos de famille volées par des criminels ou des prédateurs. »

Apple a toutefois précisé que certains types de données, comme les informations de santé, les messages iCloud et les données de paiement, qui sont chiffrées de bout en bout par défaut pour tous les utilisateurs, ne seraient pas concernés par ce changement. En revanche, les utilisateurs britanniques ne pourront plus activer le chiffrement de bout en bout pour d’autres catégories de données, telles que les photos, les notes, les sauvegardes et d’autres fichiers précédemment protégés par l’ADP.

Pour les utilisateurs ayant déjà activé l’ADP, Apple a indiqué qu’elle leur fournirait prochainement des informations supplémentaires ainsi qu’un délai pour désactiver la fonctionnalité tout en continuant à utiliser iCloud. L’entreprise a également souligné que l’ADP reste disponible pour les utilisateurs hors du Royaume-Uni, et que les services de communication chiffrés de bout en bout, comme FaceTime et iMessage, ne sont pas affectés.

« Comme nous l’avons toujours affirmé, nous n’avons jamais créé de porte dérobée ou de clé maîtresse pour aucun de nos produits ou services, et nous ne le ferons jamais », a réitéré Apple, rappelant ses précédentes déclarations.

Apple a engagé une action en justice pour contester cette injonction du gouvernement. L’ADP a cessé d’être proposée aux nouveaux utilisateurs britanniques à partir du 21 février à 15 heures, heure locale. Matthew Green, expert en cryptographie et professeur à l’université Johns Hopkins, a réagi sur X en encourageant les utilisateurs hors du Royaume-Uni à activer l’ADP sans tarder : « Plus il y aura de personnes qui l’utiliseront, plus il sera difficile de la désactiver de cette manière », a-t-il déclaré.

Le Royaume-Uni sacrifie le chiffrement au nom de la surveillance : un risque pour la vie privée et la sécurité

Le revirement du gouvernement britannique en matière de politique de chiffrement, marqué par la suppression des recommandations officielles en faveur du chiffrement et la pression exercée sur Apple pour créer une porte dérobée sur iCloud, est profondément préoccupant. Cette décision semble refléter une priorité accrue accordée à la surveillance et au contrôle des données des citoyens, au détriment de la protection de leur vie privée et de leur sécurité numérique. En exigeant d'Apple qu'elle désactive le chiffrement de bout en bout pour les utilisateurs britanniques, le Royaume-Uni fragilise non seulement la confiance des utilisateurs dans les technologies de sécurité, mais ouvre également la porte à des risques accrus de piratage et d'exploitation des données par des acteurs malveillants.

Cette approche soulève des questions fondamentales sur l'équilibre entre sécurité nationale et libertés individuelles. Si l'argument de la lutte contre la criminalité et le terrorisme est souvent invoqué pour justifier de telles mesures, il est crucial de reconnaître que l'affaiblissement du chiffrement a des conséquences bien plus larges. En créant des failles de sécurité pour les forces de l'ordre, le gouvernement britannique...