Depuis le 21 février 2025, les utilisateurs d'iCloud au Royaume-Uni – le service de stockage en ligne d'Apple – ne peuvent plus activer la fonctionnalité de chiffrement de bout en bout, appelé "Advanced Data Protection" (ADP). Il s'agit, pour rappel, d'une méthode de protection des données qui garantit que seuls l'expéditeur et le destinataire peuvent lire le contenu d'une information ou d'un message.
"Nous sommes profondément déçus que les protections fournies par ADP ne soient pas disponibles pour nos clients au Royaume-Uni compte tenu de l'augmentation continue des violations de données et d'autres menaces pour la confidentialité des utilisateurs", a réagi Apple, contacté par L'Usine Digitale, qui souhaitait avoir confirmation du retrait de la fonctionnalité.
Refus total d'intégrer une porte dérobée
Apple a préféré cette option plutôt que d'intégrer une porte dérobée dans son service de stockage, comme lui avait ordonné le gouvernement britannique. C'est le Washington Post qui avait révélé le 7 février dernier que Londres exigeait de la firme à la pomme la possibilité de consulter les contenus chiffrés, et "pas seulement l'assistance pour pirater un compte spécifique".
Le document fourni à Apple, sous la forme d'un "avis de capacité technique", se fonde sur l'article 253 de l'Investigatory Powers Act (IP Act), adoptée en 2016. Surnommée "Snoopers' Charter" (Charte des espions) en raison des inquiétudes pour la vie privée, cette législation donne la capacité au gouvernement d'obliger les entreprises à créer des portes dérobées dans leurs systèmes pour permettre aux services de renseignement de contourner le chiffrement.
L'ordre envoyé à Apple a soulevé un vent de contestations parmi la société civile et les experts en sécurité informatique. Le 13 février 2025, 109 organisations ainsi que des entreprises ont publié une lettre adressée à la ministre de l'Intérieur, Yvette Cooper, lui demandant d'annuler cette mesure. "Cette demande met en péril la sécurité et la confidentialité de millions de personnes, porte atteinte au secteur technologique britannique et crée un précédent dangereux pour la cybersécurité mondiale", écrivaient-ils.
"Une faille de sécurité systémique"
"Le deuxième fournisseur mondial d'appareils mobiles serait ainsi construit sur une faille de sécurité systémique", ajoutaient-ils. En effet, rappelons qu'une porte dérobée crée une faille intentionnelle dans un système qui, bien qu'elle puisse être utilisée légalement par un service habilité, ouvre également la voie à des acteurs malveillants (hackers, gouvernements autoritaires...). Une fois installée, il est impossible de s'assurer qu'une porte dérobée n'est pas utilisée de manière inappropriée.
Pour bien comprendre l'étendue de l'annonce d'Apple, il faut distinguer plusieurs cas. Lorsque les utilisateurs britanniques utilisaient déjà l'ADP avant le 21 février, ils pourront toujours l'utiliser jusqu'à une date à partir de laquelle leur compte iCloud ne fonctionnera plus. L'entreprise américaine promet la fourniture de "conseils supplémentaires" pour ces utilisateurs. Cependant, "14 catégories de données" seront toujours protégées par le chiffrement de bout en bout. Il s'agit notamment "des services de communication", tels qu'iMessage et FaceTime, ainsi que "le trousseau iCloud" (gestionnaire de mots de passe) et les données de santé.
Apple peut désormais accéder à certaines catégories de données
Pour les personnes n'utilisant pas encore l'ADP, elles ne pourront tout simplement jamais activer cette fonction au Royaume-Uni sur leur iPhone. En pratique, cela signifie que les 9 catégories de données sont désormais couvertes par "la protection standard". Il s'agit de la sauvegarde iCloud, iCloud Drive, photos, notes, rappels, signets Safari, raccourcis Safari, mémos vocaux, Wallet Passes (portefeuille numérique) et Freeform (application de brainstorming). Autrement dit, Apple peut désormais accéder à l'ensemble des données stockées dans les applications citées au-dessus et les transférer aux forces de l'ordre.
La décision prise par Apple a provoqué une levée de boucliers. L'Open Rights Group (ORG), une association britannique de protection des droits numériques, a déclaré que "les mesures prises par le ministère de l'Intérieur ont privé des millions de Britanniques de l'accès à une fonctionnalité de sécurité". "Par conséquent, les citoyens britanniques courent un risque plus élevé de voir leurs données personnelles et leurs photos de famille tomber entre les mains de criminels et de prédateurs", a alerté James Baker, responsable du programme Platform Power au sein de l'organisation.
"Un droit humain fondamental"
Mais c'est bien évidemment l'industrie qui s'est montrée la plus inquiète. Meredith Whittaker, la présidente de la messagerie Signal (chiffrement de bout en bout par défaut), a qualifié la décision prise par le Royaume-Uni de "techniquement analphabète". "On ne peut pas être favorable à la technologie tout en érodant les fondements de la cybersécurité sur lesquels repose une technologie robuste. Le chiffrement n’est pas un luxe – c’est un droit humain fondamental, essentiel à une société libre, qui soutient également l’économie mondiale", a-t-elle indiqué.
Will Cathcart, responsable de WhatsApp, a réagi à l'injonction du gouvernement britannique : "Le chiffrement est absolument essentiel pour assurer la sécurité des personnes, et les gouvernements devraient l'encourager. Interdire le chiffrement est un cadeau dangereux pour les pirates informatiques et les gouvernements étrangers hostiles".
En réalité, il n'y a pas qu'au Royaume-Uni que le chiffrement de bout en bout est remis en cause. A l'échelle européenne, on peut citer la prise de position de 32 directeurs de force de l'ordre de police européennes qui ont rédigé un communiqué conjoint en avril 2024 pour dénoncer le déploiement du chiffrement de bout en bout sur les applications de messagerie.
Les sénateurs français prêts à interdire le chiffrement
En France, les sénateurs Jérôme Durain et Etienne Blanc ont déposé une proposition de loi visant "à sortir la France du piège du narcotrafic. Ce texte, qui a été adopté en première lecture à l'unanimité début février 2025, prévoit une obligation pour les plateformes de mettre en oeuvre "les mesures techniques nécessaires afin de permettre aux services de renseignement d’accéder au contenu intelligible des correspondances et données qui y transitent". Pour justifier cette mesure, l'amendement affirme que "les réseaux de narcotrafiquants, les groupes terroristes et, au-delà, toutes les organisations criminelles tirent profit de la généralisation des messageries chiffrées".
Ce n'est pas la première fois qu'une entreprise technologique assouplit ses règles de sécurité pour répondre aux exigences d'un gouvernement. Cependant, il s'agissait dans la grande majorité des cas de pays ayant des régimes autoritaires, tels que la Russie ou la Chine. On peut citer Meta qui, en 2021, avait limité temporairement certaines fonctionnalités de chiffrement sur Messenger et Instagram en réponse au gouvernement russe.
Apple avait-il le choix ?
La situation d'Apple au Royaume-Uni est particulièrement délicate. L'entreprise, qui place la confidentialité des données au coeur de sa stratégie, avait-elle réellement le choix de se soumettre aux ordres gouvernementaux du Royaume-Uni ? Face à une telle pression, la présidente de Signal avait menacé de se retirer du marché britannique en réponse au projet de loi sur la sécurité en ligne (Online Safety Bill). Ce texte, adopté par le Parlement britannique en 2023, intégrait des dispositions pouvant contraindre les messageries à contourner le chiffrement de bout en bout. "Si le choix se résumait à intégrer une porte dérobée, ou à partir, nous partirons", avait-elle prévenu.
Voyant que le dilemme fonctionne, les autorités britanniques pourraient forcer d'autres fournisseurs de technologies de retirer leur fonctionnalité de chiffrement de bout en bout. Ce qui conduirait à affaiblir considérablement la confidentialité des échanges, ainsi que provoquerait un paysage numérique morcelé entre chaque Etat. Rappelons également que l'interdiction du chiffrement n'est pas une solution miracle pour lutter contre la criminalité. En effet, les criminels se sont adaptés et redoublent d'imagination pour échanger en dehors des canaux classiques de communication. Par exemple, Oussama Ben Laden, le commanditaire des attentats du 11 septembre 2001, se reposait exclusivement sur des messagers humains pour éviter d'être pisté par la NSA et ses équivalents européens.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
