Le code sur votre iPhone ne sert à rien (ou presque)

Mais, heureusement, la protection de la vie privée ne repose pas uniquement sur les barrières technologiques d’une multinationale et la bonne foi des autorités.

Photo © iStock
Photo: iStock

Vous êtes-vous déjà demandé si votre vie privée numérique était vraiment protégée?

Moi, oui. Souvent. Très souvent même. Peut-être parce que je suis un peu paranoïaque. Peut-être parce que je suis un journaliste. Sans doute parce que je suis un geek.

Et dernièrement, j’y pense plus que jamais à cause d’une affaire qui fait les manchettes chez nos voisins américains.

Le 26 mars dernier, le Federal Bureau of Investigation (FBI) a annoncé avoir trouvé une méthode pour pirater un iPhone ayant appartenu à Syed Farook et à en extraire les données, grâce à une mystérieuse tierce-partie qui a offert son aide aux autorités.

Photo du permis de conduire de Syed Farook. (Crédit: Wikimédia)
Photo du permis de conduire de Syed Farook. (Crédit: Wikimédia)

Syed Farook a tué 14 personnes en décembre à San Bernardino, en Californie, avant d’être abattu par les policiers. Son téléphone était verrouillé et son contenu crypté, ce qui rendait le tout inaccessible aux autorités.

Mais le FBI semble désormais être en mesure de contourner la muraille numérique mise en place par Apple, et toutes les données personnelles de Syed Farook vont probablement être examinées à la loupe.

Je me suis alors demandé: est-ce qu’ici aussi, au Canada, mon téléphone pourrait un jour être fouillé de la sorte? Est-ce qu’un policier ou un agent pourrait saisir mon iPhone, le déverrouiller sans mon consentement et vérifier si mes fréquentations sur Facebook ou Tinder sont louches?

J’ai commencé par envoyer un bref courriel au Service de police de la Ville de Montréal (SPVM): «Est-ce que le SPVM dispose des capacités techniques pour trouver le mot de passe d’un téléphone ou d’un ordinateur verrouillé?»

Une réponse succincte de la Section des communications et relations médias a atterri quelques minutes plus tard dans ma boîte de réception: «Le SPVM dispose des moyens pour déverrouiller un téléphone ou un ordinateur.»

Ah! Les policiers montréalais seraient donc aussi avancés technologiquement que le FBI?

Un coup de fil pour confirmer le tout. Finalement, le SPVM me concède que ses policiers ne sont pas plus forts que les agents fédéraux américains. Le chargé des communications ne peut pas me dire non plus si, en fait, le SPVM aurait été capable de déverrouiller l’iPhone de Syed Farook.

Et pour cause: le FBI s’est bien gardé de révéler comment il s’y était pris pour pirater le téléphone.


À lire aussi:

Si la vie (privée) vous intéresse


Mais selon José Fernandez, professeur à Polytechnique Montréal et expert en sécurité informatique, il ne faudrait pas s’étonner que les autorités disposent de telles compétences. «C’est plausible que des corps policiers ou des agences de renseignements canadiens ou étrangers aient des outils pour le faire. C’est même très plausible.»

José Fernandez m’avait dit ça quelques jours avant que le FBI révèle avoir trouvé une brèche dans le système de sécurité de l’iPhone. Le professeur avait vu juste.

Si la bataille entre Apple et le FBI a tant fait parler d’elle, c’est en partie parce que la marque à la pomme a refusé de coopérer. En réalité, Apple a plus souvent l’habitude d’obtempérer aux demandes des autorités que le contraire.

extrait_site_web_apple
Apple explique en détails sur son site web comment l’entreprise collabore avec les autorités.

En épluchant les rapports publiés sur le site Web de l’entreprise, je me suis rendu compte qu’entre le 1er janvier 2013 et le 30 juin 2015, les autorités canadiennes ont demandé à Apple d’extraire le contenu de 682 appareils. Dans plus de 80 % des cas, Apple a répondu positivement aux requêtes (qui étaient accompagnées d’un mandat).

Apple dit toutefois qu’elle ne procède plus à ce genre de transfert avec les téléphones les plus récents ou mis à jour depuis juin 2014 (iOS8). Depuis, votre code à quatre ou six chiffres est la seule clé pour déverrouiller votre téléphone et personne d’autre que vous ne peut avoir accès à son contenu, pas même Apple.

Enfin, personne d’autre que vous… et de mystérieuses «tierces-parties» qui ont offert leur aide au FBI.

Extrait d'un document de cour dans lequel le FBI explique qu'une tierce-partie lui a montré comment déverrouiller l'iPhone de Syed Farook.
Extrait d’un document de cour dans lequel le FBI explique qu’une tierce-partie lui a montré comment déverrouiller l’iPhone de Syed Farook. Cliquez ici pour le document complet.

Mais, heureusement, la protection de ma vie privée et de la vôtre ne repose pas uniquement sur les barrières technologiques (faillibles) d’une multinationale et la bonne foi (parfois discutable) des autorités.

Des lois et des éléments de droit tracent la frontière entre notre espace personnel et le territoire policier.

Alors j’ai continué ma quête de réponses en allant fouiller dans les plus récentes décisions judiciaires au pays. L’une d’entre elles est tout de suite ressortie du lot: R. c. Fearon, par la Cour suprême du Canada.

Remontons dans le temps pendant quelques instants.

Nous sommes en 2009, à Toronto. Deux hommes braquent, avec une arme à feu, une commerçante qui dépose des bijoux dans sa voiture. Les bandits sont arrêtés en soirée. Lors d’une fouille par palpation, un cellulaire est trouvé dans une poche de l’un d’entre eux. Les policiers découvrent un message texte: «We did it were the jewlery at nigga», en plus d’une photo d’une arme de poing, qu’ils retrouveront plus tard et identifieront comme l’arme du crime.

Le propriétaire du cellulaire s’appelle Kevin Fearon. Il s’est battu jusqu’en Cour suprême pour faire reconnaître ce qui était selon lui une fouille abusive de son téléphone.

Ses démarches n’ont pas eu l’effet escompté. Mais c’est en partie grâce à lui si la fouille de votre cellulaire est aujourd’hui encadrée au Canada, avec l’Arrêt Fearon, qui a été rendu en décembre 2014.

«Avant 2014, il y avait une zone floue, il n’y avait pas vraiment de règle déterminant jusqu’où les policiers pouvaient aller avec un téléphone», explique Pierre-Luc Déziel, chercheur postdoctoral à la Chaire L.R. Wilson sur le droit des technologies de l’information de l’Université de Montréal et expert en droit de la vie privée.


À lire aussi:

Le jour où les espions canadiens se sont intéressés à Anonymous


Avant cette décision de la Cour suprême, certains juges considéraient qu’un téléphone était l’équivalent légal d’une valise, en quelque sorte. Lors d’une arrestation, les policiers ont un pouvoir de fouille dit «accessoire», qui leur permet de procéder à des vérifications de sécurité tout en accumulant d’éventuelles preuves, le tout sans mandat. Par conséquent, pour certains magistrats, si les policiers avaient déjà le pouvoir d’ouvrir votre valise et d’y jeter un œil, il n’y avait pas de raison pour que ce soit différent avec votre téléphone.

Et c’est là que l’affaire Fearon a changé la donne. La Cour a reconnu au contraire que, de nos jours, un téléphone contient une gigantesque quantité d’informations personnelles sur son propriétaire et que les fouilles «risquent d’entraîner des empiétements graves sur la vie privée».

En résumé, il n’y a rien de bien dramatique à ce qu’un policier voie vos affriolants sous-vêtements léopard dans votre valise, mais c’est différent s’il a accès à l’ensemble de vos courriels des cinq dernières années.

Les juges ont établi un protocole pour les policiers: seuls les photos, vidéos, courriels et messages textes récents peuvent être consultés, ainsi que le registre des appels, si c’est adapté à la nature de l’arrestation et de l’enquête en cours.

De plus, les policiers doivent prendre des «notes détaillées» de ce qu’ils ont examiné dans le téléphone de la personne arrêtée.

Par exemple, imaginons qu’un agent de la police des bonnes mœurs décide de vérifier si j’ai respecté ma promesse d’appeler ma mère tous les dimanches. Il m’arrête, me fouille et trouve mon téléphone. De mon côté, je refuse de lui donner mon code, afin de protéger ma vie privée (et parce que je n’ai pas appelé ma mère depuis deux semaines).

Le policier trouve ma combinaison (je savais que je n’aurais pas dû choisir 123456) et vérifie mes derniers appels, le tout sans avoir besoin d’un mandat.

Boum! Au tribunal de la bonne conscience, je suis jugé coupable d’être un fils indigne. Le policier a présenté ses notes détaillées à la Cour, qui me condamne à amener ma mère au Ikea pour me faire pardonner.

Soupir de soulagement toutefois: le policier n’est pas allé voir mes vidéos et n’a pas découvert celle où je chante une chanson de gangsta rap dans un bar de karaoké. J’ai beau être un fils indigne, mon honneur reste sauf malgré tout!

Et tout ça grâce à l’Arrêt Fearon.

Évidemment, tout repose sur le jugement du policier. «Qu’est-ce qui est adapté? Qu’est-ce qui n’est pas adapté? Est-ce qu’ils vont trop loin? C’est là que c’est une règle qui, à mon sens, n’est pas assez précise», dit Pierre-Luc Déziel, qui doute que ce soit suffisant pour véritablement protéger la vie privée des gens.

«Attends une seconde, Naël. Si tu as un mot de passe sur ton téléphone, le policier n’a pas le droit de le fouiller sans mandat!» me diront les plus perspicaces d’entre vous.

Hum… Contrairement à la croyance populaire, c’est faux.

La plupart des iPhones récent réclament un code à six chiffres pour être déverouillés
La plupart des iPhones récents réclament un code à six chiffres pour être déverouillés

La présence d’un mot de passe ne rend pas vos données plus privées. Vos données personnelles sont privées, point à la ligne.

Le téléphone de Kevin Fearon, justement, n’était pas protégé par un mot de passe. La Cour suprême a déterminé que le Torontois n’avait pas pour autant abandonné son droit à la vie privée. «Et c’est justement pour éviter que les policiers puissent dire: « il n’y avait pas de mot de passe, il ne s’attendait pas à ce que ce soit privé, donc ce n’est pas vraiment une atteinte à la vie privée »», explique Pierre-Luc Déziel.

Ou, si vous préférez le point de vue du Service de police de la Ville de Montréal: «Le mot de passe ne change rien.»

Au pire (ou au mieux, ça dépend du point de vue), votre mot de passe risque simplement d’être un possible obstacle technique pour la police.

Mais, d’ailleurs, que se passerait-il si la situation vécue aux États-Unis se reproduisait ici? Imaginons que mon téléphone soit saisi et que la police soit incapable de le débloquer. Une différence toutefois: je suis toujours en vie. La police pourrait-elle me forcer à lui donner la clé de mon jardin secret numérique?

C’est ce qui est arrivé à Siméon Boudreau-Fontaine, en 2007. Le Québécois dans la vingtaine est alors en probation pour production et distribution de pornographie juvénile. Il n’a pas le droit d’aller sur Internet.

Un soir de septembre, il se fait arrêter par la police, qui le suspecte de surfer sur le Web alors qu’il utilise son ordinateur portable, dans sa voiture stationnée dans un quartier résidentiel.

Un mois plus tard, un juge de paix lance un mandat de perquisition qui le somme de donner à la police le mot de passe qui verrouille son ordinateur, ce que le jeune homme fait.

La police prouve qu’il a utilisé Internet, et découvre en plus neuf photos de pornographie juvénile sur le disque dur de l’appareil.

Mais la situation se retourne contre les autorités quand les tribunaux jugent que toutes les preuves doivent être exclues. En forçant Siméon Boudreau-Fontaine à divulguer son mot de passe, on l’a poussé à s’auto-incriminer, ce qui contrevient à ses droits constitutionnels!

«Dans cette affaire, la personne a donné son mot de passe parce qu’elle se sentait contrainte à le faire, détaille Pierre-Luc Déziel. Mais c’est aux autorités de trouver les preuves par elles-mêmes.» Les autorités ont brimé son droit au silence, à la présomption d’innocence et son droit de ne pas être mobilisé contre lui-même, a noté le juge de la Cour d’appel du Québec, dans sa décision rendue en 2010.

Donc, pour résumer le tout, la police peut fouiller le contenu le plus récent votre téléphone lors d’une arrestation, si c’est lié au motif de votre arrestation, et ce, sans mandat. Mais rien ne vous oblige à donner le mot de passe de votre cellulaire. Si les autorités veulent vraiment y avoir accès, elles devront trouver le moyen de le pirater!

À ce point-ci du texte, certains d’entre vous se disent probablement: «Bah! Tout ça est trop compliqué. Moi, je n’ai rien à me reprocher de toute façon. La police peut bien faire ce qu’elle veut avec mon téléphone!»

Et vous avez raison, c’est compliqué. Sauf que, comme l’indique Nicolas Vermeys, professeur à la Faculté de droit et chercheur au Centre de recherche en droit public de l’Université de Montréal, «une société entièrement transparente, dans laquelle les policiers peuvent avoir accès à tout, c’est une société qui s’approche de plus en plus d’un régime totalitaire. Si on dit chaque fois que ce n’est pas grave parce qu’on n’a rien à cacher, on déplace la ligne de ce qui est acceptable. Et une fois que cette frontière a été déplacée, c’est très difficile de revenir en arrière.»

Le professeur ajoute que les différents changements législatifs, par exemple dans le Code criminel ou avec l’adoption de la Loi antiterroriste (C-51), donnent de plus en plus de possibilités aux autorités d’accéder aux données des citoyens. «Les lois nous protègent de moins en moins en quelque sorte. Alors la solution, c’est de se protéger technologiquement. Malheureusement, la technologie n’est pas à la portée de tous et les gens ne l’utilisent pas nécessairement de façon optimale.»

Bref, si vous souhaitez cacher à votre conjoint ou votre conjointe un quelconque plaisir coupable, votre mot de passe est probablement encore efficace (à moins que ce ne soit sa date de naissance — si c’est le cas, faites-vous une faveur: changez-le). Le système d’Apple devrait aussi mettre votre contenu à l’abri des voleurs de bas étage.

En revanche, si vous souhaitez véritablement protéger votre vie privée, il est peut-être temps d’apprendre à crypter vos données par vous-même.

Allez, je vous lance même votre premier défi. Voici ma clé publique de cryptage PGP sur le serveur du MIT. Envoyez-moi un courriel crypté à [email protected] pour me faire part de vos commentaires! Un petit tour sur Google vous mènera à plusieurs tutoriels, qui vous montreront la marche à suivre.

Dans la même catégorie
8 commentaires
Les commentaires sont fermés.

Les forces policières ne sont en effet pas en mesure d’analyser le contenu de disques entièrement chiffrés. Une recherche rapide sur internet nous fait découvrir plusieurs cas dans ce genre : si la clef de chiffrement est le moindrement « compliquée », personne sur la planète ne peut casser ces systèmes (e.g. FileVault) à moins qu’il n’existe des portes dérobées.

Ce ne sont pas les données sur le téléphone qui sont cryptés mais bien son accès. Le cryptage 128 bits ralentirait le traitement des données d’un téléphone. Toutes nos données sur notre serveur sont cryptés 128 bits, ce qui ralentit le traitement d’environ 18% pour un ficher texte et de 45% et plus pour un fichier compressé tel qu’un MP3 ou tout type de video.

Faux, les données sur le téléphone SONT chiffrées, à tout le moins sur un iPhone récent (5s et plus).

J’espère que les autorités policières de mon pays pourront avoir accès aux données téléphoniques d’un tueur d’envergure comme Syed Farook. Le but de cette saisie est plus que louable par nos autaurités qui nous protègent en respectant les obligations de règle de preuve. Le but visé n’est vraiment pas comparable a certains fraudeurs , criminels, qui se serviraientt des donnés personnels pour détruire la vie de citoyens.

Bien que l’article soit intéressant, son titre accrocheur n’est pas approprié et incite à tirer des conclusions fausses. Le code de l’Iphone est extrêmement utile parce qu’il crypte le téléphone et permet d’empêcher que la majorité des gens puissent avoir accès à vos données personnelles en cas de perte ou de vol. Ceux qui lisent rapidement le titre pourraient croire qu’il n’est pas utile de mettre un mot de passe sur le téléphone.

Dans le cadre d’une recherche et ce depuis 3 ans, pour un documentaire sur la société de surveillance j’ai eu l’occassion de fréquenter quelques Anonymous (universitaires ,ingénieurs, informaticiens, militants) de partout dans le monde. J’avoue que le récent brouhaha médiatique concernant Apple et le FBI m’a fait sourire.

C’est un secret de polichinelle et révélé par les »Anonymous » de ce monde que le iPhone de Apple est facile a pénétrer…Il a fallu 45 sec pour pénétrer celui de Hillary Clinton et 89 sec a un adolescent pour accéder aux données hautement confidentielles de John Brennan, le directeur de la CIA. A notre époque d’effritement des libertés civiles on peut se demander si la cabale Apple, FBI et l’accès au firmware de l’iPhone 5C de l’auteur de la tuerie de San Bernardino le 2 décembre 2015 n’est pas une »astuce marketing » de plus dans la culture Apple.

Vérités et Mensonges? Pour avoir fréquenté de très près ces »gangsters » de l’univers informatique, je reconnait bien dans ce conflit ‘fabriqué » » la méthode et culture Apple et leur ‘’rhétorique marketing’’ très prisée par une certaine go-gauche bien-pensante. Ce bras de fer m’apparait davantage comme une astuce habile pour permettre de faire de la publicité pour le iPhone et laissant l’illusion a l’utilisateur que son iPhone est sécuritaire….Pour Apple il fallait se racheter pour que l’utilisateur oublie rapidement la récente »erreur 53 ». Il fallait a Apple un peu de publicité pour le Keynote du 21 mars dernier.

Cette histoire nous révèle beaucoup de choses sur notre Époque. Dans quelle direction avançons-nous ? Est-il encore possible de résister à cette prise d’otage des libertés individuelles et intellectuelles ? N’avons-nous d’autre choix que de contempler, sans pouvoir réagir, l’atrophie insidieuse de notre individualité au profit d’une masse nivelée par le bas ? Que nous soyons tous en permanence fichés, surveillés, identifiés, barbares et coupables potentiels, voilà la norme que le moralisme de cette nouvelle époque est en train d’instaurer un peu partout dans le monde.

L’homme est ambivalent. D’une part, il aspire à la stabilité, à créer une bulle protectrice, artificielle. D’autre part, il reste un être de nature imprévisible, changeant, une sorte de salaud ordinaire sans cesse en devenir.

»L’homme d’aujourd’hui ressemble assez à une guêpe coupée en deux qui continuerait à se gaver de confiture en faisant comme si la perte de son abdomen n’avait aucune espèce d’importance. » George Orwell, Une vie – Bernard Crick, Éditions Climats, 2003

Une personne qui n’a rien à cacher ni à se reprocher ne devrait pas être concernée par le déverrouillage de son téléphone.

En fait, je ne crois pas que Apple n’a pas donné aux autorités américaines le code source de déverrouillage mais en a fait tout un plat pour conserver sa clientèle, un mirage bien orchestré pour soit disant protéger la vie privée.

Nombreux savent que Apple, Microsoft, Google et autres ont volontairement donner accès à leurs données, les deux premiers l’ont fait à condition qu’un juge les ordonne de le faire, le troisième sans aucune procédure particulière. Se sont des faits établis depuis des années.

Lorsque Windows 95 est apparu sur le marché, des confrères et moi avons programmé un “packet sniffer” pour savoir ce qui était transigé entre l’ordinateur et le modem câble pour constater que Microsoft envoyait vers ses serveurs sous forme de DLL des informations non pertinente aux activités que nous faisions. Ces informations étaient presque toujours des formulaires que nous remplissions en ligne pour enregistrer un logiciel, participer à un concours, ouvrir un compte avec un marchand etc.

Ce n’est que lors de l’apparition des sites sécurisés, notamment htmls que le trafic d’information diminua beaucoup. Les sites asp étaient les plus sécurisés de tous. Faut-il préciser que c’est grâce à Internet Explorer que la filature était faite, Firefox et Opera étaient et demeurent mieux sécurisés.

L’Union européenne a pénalisé Microsoft pour leur faire comprendre qu’elle ne pouvait plus inclure les fichiers de Internet Explorer pour plus de 2$ milliards d’Euro il y a environ 10 ans. Microsoft ne voulait pas céder mais après l’amende et le blocage de vente de Windows sur le marché européen, Microsoft a dû céder. Ils ont en fait tenter de laisser derrière l’abandon de Internet Exployer, des fichiers de transfert mais se sont fait prendre à leur petit jeu.

Les autorités et entreprises américaines se croient toujours au dessus de la loi. Ce sont les européens qui utilisent le plus Linux qui a gagné la presque totalité du marché des serveurs WAN et LAN.

En ce qui a trait aux ordinateurs personnels il est difficile d’avoir des chiffres viables parce qu’une personne qui installe Linux en “background” pour utiliser Windows sera reconnu comme étant un utilisateur de Windows.

« Une personne qui n’a rien à cacher ni à se reprocher ne devrait pas être concernée par le déverrouillage de son téléphone. »

Ce que vous dites est totalement aberrant. Vous ne semblez pas comprendre qu’il s’agit ici d’une question de droit à la vie privée et de sécurité civile, et pas de savoir si vous possédez des photos coquines ou non.

Si on suit votre raisonnement, on peut émettre la conjecture suivante:

« Une personne qui n’a rien à cacher ni à se reprocher ne devrait pas être concernée par le déverrouillage de sa maison. »

C’est la même chose. Vous ne tolèreriez pas des intrus dans votre maison, mais vous leur permettriez d’accéder à votre téléphone?

Les technologies évoluent, et les comportements aussi. De nos jours, l’adresse de vos proches, leur localisation, vos numéros de cartes bancaires, le nom de l’école de vos enfants… toutes ces informations sont susceptibles de se retrouver dans le téléphone d’un citoyen moyen.

Le téléphone n’est pas une valise. Il doit être vu comme l’extension du corps humain, une extension de notre cerveau en quelque sorte. Permettriez-vous à quelqu’un d’entrer dans votre cerveau et d’y lire ce qui s’y trouve? Bien voilà. Comme on ne peut pas s’immiscer dans un cerveau, on ne devrait pas plus le faire dans un téléphone.