Apple peu soucieux de notre vie privée ? Comment des fichiers privés se sont retrouvés sur l’iCloud sans que leur propriétaire ne l’ai jamais autorisé

Atlantico : Selon le chercheur en sécurité Jeffrey Paul, la dernière version du système d’exploitation d’Apple OS X enregistrerait automatiquement les documents non sauvegardés sur les serveurs d’iCloud afin de les restaurer par la suite aux utilisateurs. En quoi peut-on dire que ce forçage présente des risques au niveau de la vie privée des utilisateurs ?

Fabrice Epelboin : Tout d’abord, je doute que cela se passe "sans permission", du moins au sens légal du terme. Apple est une boite sérieuse, je suis sûr qu’ils ont prévu ce cas de figure au détour d’une formulation de leurs conditions générales d’utilisation. Conditions d’utilisation que vous avez approuvé et qui est le contrat que vous avez passé, en tant qu’utilisateur, avec Apple. Bien sûr, elles ont pu évoluer récemment, et vous avez - comme d’habitude - cliqué sur "OK" quand elles sont apparues sur votre écran.

Pour savoir si cela représente un risque, le plus simple est de demander à toutes ces stars Hollywoodienne qui ont vu leurs photos intimes publiées récemment sur internet, après le piratage de l’iCloud d’Apple.

Bien sûr que cela représente un danger pour votre vie privée. Ca, comme tout un tas d’autres usages des technologies Cloud.

Lorsque l’utilisateur se connecte sur son compte iCloud, Apple déporte ces sauvegardes directement sur ses serveurs. Alors que des comptes iCloud de dizaines de célébrités ont été récemment piratés, quels sont les risques auxquels s’exposent les utilisateurs ? Est-il possible d’y remédier et comment ?

Les risques sont multiples, et il est difficile d’en faire l’inventaire précis. Si votre smartphone commence à enregistrer et stocker sur un serveur distant tout ce que vous écrivez, vous pourriez tout à fait, demain, retrouver sur ces serveurs vos mots de passe en clair. Swiftkey, une application Android, propose ainsi de stocker sur ses serveurs tout ce que vous tapez sur le clavier de votre téléphone afin de vous faire des suggestions en utilisant un moteur prédictif très efficace. Une fonctionnalité que vous commencez à trouver sur iPhone. Mais Swiftkey a lui le mérite de prévenir ses utilisateurs de façon claire : pour bénéficier de ce service, Swiftkey pourrait être amené à stocker également vos mots de passe, car au moment de la saisie, il n’est pas forcément en mesure de repérer cette information comme étant confidentielle. Swiftkey fait ça aussi légalement qu’Apple ou Facebook (qui le fait aussi), mais Swiftkey explique clairement ce qu’il fait à ses utilisateur et les prévient du risque.

En se creusant la tête, on peut imaginer des tas d’autres cas de figure cocasses (ou pas) montrant comment le fait de stocker un élément non sauvegardé peut porter atteinte à la vie privée.

Alors que le moteur de recherche d’Apple Spotlight retourne automatiquement à Apple les requêtes, la position géographique et l’adresse IP, et que nos recherches sont enregistrées sur Google, en quoi peut-on dire que tous nos faits et gestes sont scrutés par les géants du Net ? Les choses pourraient-elles à l’avenir changer en la matière ?

En quoi peut-on dire que nos faits et gestes sont scrutés… Certainement pas en l’expliquant de long en large, sinon la prise de conscience serait faite. Il existe une dimension culturelle qui doit expliquer la différence de réaction de la société civile en France et en Allemagne sur ce sujet. De l’autre coté du Rhin, c’est un sujet de société majeur, et la chancelière Angela Merkel doit régulièrement y faire face. En France, seul deux journalistes ont osé interpeller François Hollande à ce sujet - Andrea Fradin de Slate et Guillaume Ledit du Mouv - et il n’ont reçu pour seul réponse du président qu’un démenti aussitôt contredit, quelques semaines plus tard, par une énième révélation d’Edward Snowden. Pour autant, aucun journaliste en France n’a jugé bon d’interpeller à nouveau le chef de l’Etat à ce sujet lors d’une conférence de presse.

Il existe de toutes évidences en France un déficit démocratique, qui se traduit sous la forme d’une auto censure de la presse, le tout jouant avec une dimension culturelle spécifiquement française qui fait que la surveillance constante de la population n’inquiète pas plus que cela les français. Michel Foucault et Gilles Deleuze doivent se retourner dans leur tombe, avec Orwell, bien sûr, mais lui n’est pas français.

Il est peut être temps pour les artistes de s’emparer plus encore du sujet pour le porter à l’attention du grand public, même si Hollywood a déjà largement exploré cette thématique. En France, il y a quelques années, Albertine Meunier, une artiste contemporaine, avait réalisé une œuvre sur la base de son historique Google que j’avais trouvé saisissante.

On peut espérer qu’un créatif trouvera une idée géniale pour éveiller les français aux dangers de la surveillance de masse, mais pour avoir travaillé sur ce sujet depuis maintenant six années, je ne suis pas optimiste. La population française se réveillera vraisemblablement trop tard. Quand Marine Le Pen, une fois au pouvoir, prendra la main sur ces outils de surveillance, par exemple.

Comment expliquer que l’on semble seulement maintenant se préoccuper des questions de sécurité notamment sur l’iCloud ?

Parce que plein de gens sans la moindre compétence en informatique, et encore moins en sécurité informatique, prennent des décisions critiques en matière de sécurité informatique, souvent sans le savoir, vu que, justement, ils n’y comprennent rien.

Parce que ce type de dépenses n’est pas associée à un ROI (retour sur investissement ndlr) mais à une couverture de risque, et que ce n’est pas compris ainsi par ceux qui signent les devis.

Parce que ces systèmes ont été conçus à une époque où les tensions qui déchirent nos sociétés n’étaient pas visibles et ne permettaient pas d’anticiper une société au bord de la guerre civile, dans les rues comme dans le cyber - et à vrai dire ça l’est bien plus encore dans le cyber.

Parce que personne n’avait mis en place une défense en mesure de faire face à ce que des nations comme les Etats-Unis, la Chine ou la France ont déployé en matière de piratage informatique (aussi appelée cyberdéfense).

Parce que la plus grande faille informatique, comme on dit chez les hackers, se situe entre la chaise et le clavier. Tant que les individus utilisant ces technologies n’en comprendront pas les tenants et les aboutissants, ils resteront le vecteur privilégié d’une attaque informatique.

Parce que - pour conclure cet inventaire à la Prévert - la sécurité à 100% ça n’existe pas, et que tout marchand de sécurité prétendant le contraire est un charlatan.