Samedi Sécurité : la Grande-Bretagne exige d'avoir accès à toutes les données chiffrées dans iCloud, Réactions à la publication du 08/02/2025

[Paul Emploi]

La Grande-Bretagne est la patrie d'Orwell, homme courageux et écrivain visionnaire, auteur entre autres des fameux La Ferme des Animaux et 1984.
Et probablement pour célébrer les 75 ans de sa mort, les célébrations y sont faites en grand, en exigeant d'Apple mais aussi d'autres que toutes les données cloud chiffrées soient accessibles en clair par leurs organismes de surveillance de masse sécurité.


Cette requête aurait été faite sous le sceau du secret, mais rapportée par de nombreux médias car corroborée par plusieurs sources.
Elle concernerait tout ce qui est sauvegardé dans iCloud, incluant tous les messages, et ne serait pas limitée aux citoyens et résidents anglais mais portant sur absolument tout le monde, Français et autres compris. La portée est donc énorme!


L'Angleterre fait partie des "Five Eyes", une coalition d'espionnage international sous l'égide des États-Unis et regroupant outre ceux-ci, la Grande-Bretagne, le Canada, l'Australie et la Nouvelle-Zélande.
Cette coalition a par le passé été détournée pour permettre l'espionnage indirect de nationaux par leurs propres agences : quand celles-ci n'avaient pas le droit de le faire, elles passaient alors par une agence étrangère pour passer outre leur cadre légal. Un bel exemple!


Sur le fond, il y a de bonnes raisons pour avoir un accès limité à des données sous le contrôle de la Justice. Malheureusement l'abus d'accès a amené le chiffrement généralisé, souvent sans accès pour le fournisseur (end-to-end encryption), et donc réduit les possibilités existantes d'accès limité régies par la loi.


Ce que demande la Grande-Bretagne n'est pas cela, mais bien d'avoir un accès complet à tout et à tous, sans aucune limite, et surtout sans droit de regard de la justice britannique ou de celles dont peuvent dépendre les personnes visées.


Lien vers le billet original

[JayTouCon]

on va avoir droit dans 4 posts à 'oui mais la pomme elle a pas donné lorsque le FBI a demandé ' etc, etc. bref la vieille soupe d'il y a 10 ans

ca fait des années que les USA se servent grâce à leur cloud act. je l'ai dit 10, 15, 20 fois ici et l'on n'a jamais vu fleurir un article. le souci d'iCloud est qu'il est obligatoire . on ne peut pas une fois que l 'on a acheté son superbe précieux à 1.6000 configurer son téléphone sans en passer par là.

certains ici poussent le vice jusqu'à adorer Face ID (c'est gentil pour la photo d'identité) et les plus magnanimes à fournir leur données de santé via leur fabuleuse montre. mais tout est chiffré blah blah blah.

quand on voit toute la com' de la pomme à propos de la vie privée c'est toujours pareil : du marketing. ils sont comme les autres malheureusement du coté d'androïd. Si quelqu'un a envie de croire après tout pourquoi pas, il y a des messes tous les dimanches. Ce n'est pas pour rien et pas seulement pour des raisons fiscales que la pomme avait implanté une partie de ses serveurs en Caroline du nord. des nouvelles de leur(s) serveur(s) en Europe ? donc en théorie sous droit européen ?

c'est quand même un magnifique avenir que nous allons vivre et pour quelques uns le fumeux 'mais euh quand on a rien à se reprocher yapa de problème pour tout montrer' sera encore plus d'actualité

bon allez @malloc vient dire que la pomme est formidable et que c'est pas sa faute et qu'elle va refuser en serrant fort ses poings. comme en Chine hein.

[joe75]

Pour une fois que JTC ne dis pas que des conneries...et ne nous sors pas un post sans nous rabâcher pour la 100ème fois du retard d'Apple Intelligence.
J applaudis
Edit 1 :
Après je ne connais pas le site MacRumors...mais quand je lis ça
", though the law actually makes it a criminal offense to reveal that the government even made such a demand."

Je me dis que nos démocraties sont très limites..

Mais.bon on dépasse le cadre de l'univers Mac ici...ça va virer à la discussion politique...

Edit 2 : intéressant
tch said: "This misguided attempt at tackling crime and terrorism will not make the UK safer, but it will erode the fundamental rights and civil liberties of the entire population."

Note: Due to the political or social nature of the discussion regarding this topic, the discussion thread is located in our Political News forum. All forum members and site visitors are welcome to read and follow the thread, but posting is limited to forum members with at least 100 posts.

Ce message a été modifié par joe75 - 8 Feb 2025, 20:53.

[downanotch]

le souci d'iCloud est qu'il est obligatoire . on ne peut pas une fois que l 'on a acheté son superbe précieux à 1.6000 configurer son téléphone sans en passer par là.

On peut tout à fait utiliser un iPhone sans stocker de données dans iCloud.

[Jack the best]

Il me semble évident que, moins on en dévoile nous concernant personnellement, moins on risque d'être ennuyé par les fâcheux !

Ce message a été modifié par Jack the best - 9 Feb 2025, 00:33.

[Paul Emploi]

le souci d'iCloud est qu'il est obligatoire . on ne peut pas une fois que l 'on a acheté son superbe précieux à 1.6000 configurer son téléphone sans en passer par là.

On peut tout à fait utiliser un iPhone sans stocker de données dans iCloud.

C'est très dur, car ça intègre aussi les messages échangés entre appareils Apple via l'App Message et les iMessages qui sont le défaut quand échangeant entre eux!
Les SMS, MMS et RCS c'est open-bar sauf pour le dernier entre appareil Android, à-priori.
Mais il peut y avoir déjà une backdoor cryptographique pour le RCS propriétaire Android, sous la forme d'une clé maître Alphabet/Google.

Plus que les données elles-mêmes que l'on peut réduire, pour moi le gouvernement britannique vise les échanges privés chiffrés.

@Jack the best merci, c'est corrigé

[Anibé]

Sinon, il me semble évident que, moins on en dévoile nous concernant personnellement, moins on risque d'être ennuyé par les fâcheux !

++

[AUSSIE]

Des lèches culs et perfides, comme toujours ces Albions et leurs cliques




MP

[sandorfal]

Vous écrivez ceci mais je pense que ce n’est pas français, du moins la phrase n’est pas correcte :
« … quand celles-ci n'ayant pas le droit de ce-faire, en passant alors par une agence étrangère pour passer outre leur cadre légal. »

[NicoMac]

Le Japon ne fait pas partie des "Five Eyes".

[Paul Emploi]

Le Japon ne fait pas partie des "Five Eyes".

Oui je me suis emmêlé les pinceaux un instant.
Le Japon n'en fait pas officiellement parti, mais il y participe activement!

L'Australie s'était doté d'une loi lui permettant de demander la même chose mais n'avait pas fait assez pression.
C'était un marché que Apple pouvait se permettre de perdre.

La Chine a demandé accès et l'a obtenu. Nos amis Chinois sont ouvertement espionnés par leur gouvernement et le PCC (Parti Communiste Chinois).
Comme je l'avais écrit il y a longtemps, la Chine c'est le "progrès", et un exemple que suivent avec retard les pays Occidentaux.
Les élites Chinoises contrôlent leur pays et leur population, d'une façon incroyable grâce aux technologies numériques. La Corée du Sud étant leur meilleur élève.

Avec cette demande d'un pays du G7, on rentre dans le vif du sujet: la Chine est-elle une exception pour Apple, qui refusera alors au nom de ses "principes' d'affaiblir la sécurité de tous ses utilisateurs, ou au-contraire pliera-t-elle encore au nom de ce qui semble être sa "valeur" unique, le grisbi?!?

Signal est un framework open-source audité pour des communications sécurisées avec chiffrement de bout-en-bout (end-to-end), et une application conçue pour être relativement sûre tout en fournissant les informations nécessaires à l'usage des outils de surveillance ciblée de Palantir. Une sécurité limitée coté App donc.
Ils ont quitté l'Angleterre en septembre 2023 pour respecter la loi "Online Safety Bill" permettant à ce pays d'obtenir accès aux échanges en clair.
C'était la bonne décision pour moi. Comme celle de Google de quitter la Chine pour ne pas fournir de résultats de recherche corrompus.

Ça doit ramer dur entre Apple et le gouvernement Anglais, je me demande ce qui en sortira...

Et en addenda, il faut se souvenir que des hackers probablement Chinois ont utilisé les backdoors des opérateurs Internet aux États-Unis, destinées à des agences gouvernementales de surveillance de masse sécurité, pour capturer de l'information, énormément d'information.
Toute backdoor, fut-elle légitime (une hypothèse), fini toujours par être exploitée par des ennemis y-compris ceux contre lesquels elle prétendait lutter!
Le plus amusant étant que ces backdoors ne doivent pas être surveillées (monitoring), pour ne pas capturer d'informations sur les agences l'utilisant ce qui serait illégal, mais aussi pour conserver un déni probable (probable deniability) devant la justice. "On ne savait pas".

[marco]

La demande des Anglais fait peur. Je n'ai jamais fait confiance au Cloud et je ne l'utilise pas. Toutes mes sauvegardes sont à la maison sur des disques. Alors, effectivement, si ma maison brûle, si on me vole mes disques durs, si une météorite s'abat sur la maison, ou un tsunami de 100 m de haut, je perdrai mes sauvegardes. Mais je crois que dans ce cas ce ne sera pas mon problème principal. Donc ce n'est pas cette nouvelle d'Albion qui va me faire changer d'avis, bien au contraire.

Ce message a été modifié par marco - 9 Feb 2025, 15:10.

[Anibé]

La demande des Anglais fait peur. Je n'ai jamais fait confiance au Cloud et je ne l'utilise pas. Toutes mes sauvegardes sont à la maison sur des disques. Alors, effectivement, si ma maison brûle, si on me vole mes disques durs, si une météorite s'abat sur la maison, ou un tsunami de 100 m de haut, je perdrai mes sauvegardes. Mais je crois que dans ce cas ce ne sera pas mon problème principal. Donc ce n'est pas cette nouvelle d'Albion qui va me faire changer d'avis, bien au contraire.

[Benzebut]

C'est très dur, car ça intègre aussi les messages échangés entre appareils Apple via l'App Message et les iMessages qui sont le défaut quand échangeant entre eux!
Les SMS, MMS et RCS c'est open-bar sauf pour le dernier entre appareil Android, à-priori.
Mais il peut y avoir déjà une backdoor cryptographique pour le RCS propriétaire Android, sous la forme d'une clé maître Alphabet/Google.

Plus que les données elles-mêmes que l'on peut réduire, pour moi le gouvernement britannique vise les échanges privés chiffrés.

Pas sur de comprendre la réponse ici. Il est tout à fait possible d'utiliser son iBidule sans stocker de données dans iCloud comme le signalait downanotch.
Ce qui est vérifié lors de la première initialisation, c'est si un compte iCloud est rattaché à ce nouvel appareil. La cession iCloud peut être fermée juste après sans transférer les données personnelles.

Et sur le iBidule en question, avec le compte iCloud fermé, il est toujours possible d’utiliser l'application Messages et d'envoyer des iMessages, SMS, MMS et RCS avec les chiffrements requis...

[Paul Emploi]

Les SMS, MMS et RCS sont non-chiffrés de bout-en-bout (end-to-end) sur un iPhone. Tous sont en clair chez l'opérateur même si transmis via une communication chiffrée.
Notez que cette communication chiffrée avec l'opérateur peut être espionnée en Union Européenne via les provisions du DSA.
L'opérateur est tenu de se plier à la législation en vigueur, donc donner accès aussi aux gouvernements.

Les iMessage sont chiffrés mais donc dépendent de la politique d'Apple qui pourrait bien devoir se plier aux exigences du gouvernement Britannique et leur en donner accès. Ou devoir quitter l'Angleterre. Ou... Les options sont ouvertes, mais aucune ne semble satisfaisante pour les uns et les autres.

C'est là, la limite. D'où mon conseil de l'App Signal même si imparfaite (et en fait avec backdoor probable pour les USA et la NSA).

[moby59]

Les SMS, MMS et RCS sont non-chiffrés de bout-en-bout (end-to-end) sur un iPhone. Tous sont en clair chez l'opérateur même si transmis via une communication chiffrée.
Notez que cette communication chiffrée avec l'opérateur peut être espionnée en Union Européenne via les provisions du DSA.
L'opérateur est tenu de se plier à la législation en vigueur, donc donner accès aussi aux gouvernements.

Les iMessage sont chiffrés mais donc dépendent de la politique d'Apple qui pourrait bien devoir se plier aux exigences du gouvernement Britannique et leur en donner accès. Ou devoir quitter l'Angleterre. Ou... Les options sont ouvertes, mais aucune ne semble satisfaisante pour les uns et les autres.

C'est là, la limite. D'où mon conseil de l'App Signal même si imparfaite (et en fait avec backdoor probable pour les USA et la NSA).

Je ne suis pas spécialiste crypto, mais il me semble que le client Signal étant open source, on a le détail de son fonctionnement pour le chiffrement, l'échange de clés et ce genre de choses. Donc de souvenir de ce que j'avais lu on a la certitude que ce qui est échangé entre utilisateurs est bien chiffré avec la bonne clé, qui a été transmise de manière sécurisée, qu'il n'y a pas d'utilisation "malsaine" sur le client une fois les données déchiffrées (genre elles ne sont pas retransmises en clair vers un serveur de la NSA) ... bref pas d'intervention possible de ce côté là.
Le côté NON open-source c'est leurs serveurs, où en effet on peut encore récupérer quelques métadonnées type quel numéro écrit à qui et quand. Mais ça reste malgré tout nettement plus limité en terme de données.

[lechneric]

Cette requête aurait été faite sous le sceau du secret, mais rapportée par de nombreux médias car corroborée par plusieurs sources.

En ce qui a trait à la protection des données transmises, c’est un bon début…

[Paul Emploi]

Les SMS, MMS et RCS sont non-chiffrés de bout-en-bout (end-to-end) sur un iPhone. Tous sont en clair chez l'opérateur même si transmis via une communication chiffrée.
Notez que cette communication chiffrée avec l'opérateur peut être espionnée en Union Européenne via les provisions du DSA.
L'opérateur est tenu de se plier à la législation en vigueur, donc donner accès aussi aux gouvernements.

Les iMessage sont chiffrés mais donc dépendent de la politique d'Apple qui pourrait bien devoir se plier aux exigences du gouvernement Britannique et leur en donner accès. Ou devoir quitter l'Angleterre. Ou... Les options sont ouvertes, mais aucune ne semble satisfaisante pour les uns et les autres.

C'est là, la limite. D'où mon conseil de l'App Signal même si imparfaite (et en fait avec backdoor probable pour les USA et la NSA).

Je ne suis pas spécialiste crypto, mais il me semble que le client Signal étant open source, on a le détail de son fonctionnement pour le chiffrement, l'échange de clés et ce genre de choses. Donc de souvenir de ce que j'avais lu on a la certitude que ce qui est échangé entre utilisateurs est bien chiffré avec la bonne clé, qui a été transmise de manière sécurisée, qu'il n'y a pas d'utilisation "malsaine" sur le client une fois les données déchiffrées (genre elles ne sont pas retransmises en clair vers un serveur de la NSA) ... bref pas d'intervention possible de ce côté là.
Le côté NON open-source c'est leurs serveurs, où en effet on peut encore récupérer quelques métadonnées type quel numéro écrit à qui et quand. Mais ça reste malgré tout nettement plus limité en terme de données.

C'est un peu plus compliqué que cela malheureusement.

Le protocole Signal a été audité et est considéré comme relativement sûr.

Les App mobiles Signal étaient très simples et considérées comme relativement sûres.

Sauf qu'ils y ont ajouté des tonnes de fonctions et surtout des tonnes de dépendances, qui font que ces Apps non-auditées ne sont plus du tout auditable, et ont un niveau de sécurité réel sur lequel on ne peut que spéculer.
C'est le type de fonction dans lesquelles se sont cachées des backdoor sous Android, sous iOS, dans WhatsApp: l'intégration des médias et leur affichage instantané au travers d'une foultitude de dépendances au lieu de les traiter génériquement comme des fichiers sans aperçu ni rien.
Ça a permis de créer des backdoors sans information ni action de l'utilisateur. Et ça continue.
À cause de cela ça n'est plus Signal qui est en contrôle du niveau de sécurité de leur propre App open-source, mais d'autres au travers de ces multiples dépendances!

À chacun de se faire son avis, le mien est fait...

[Benzebut]

Les SMS, MMS et RCS sont non-chiffrés de bout-en-bout (end-to-end) sur un iPhone. Tous sont en clair chez l'opérateur même si transmis via une communication chiffrée.
Notez que cette communication chiffrée avec l'opérateur peut être espionnée en Union Européenne via les provisions du DSA.
L'opérateur est tenu de se plier à la législation en vigueur, donc donner accès aussi aux gouvernements.

Les iMessage sont chiffrés mais donc dépendent de la politique d'Apple qui pourrait bien devoir se plier aux exigences du gouvernement Britannique et leur en donner accès. Ou devoir quitter l'Angleterre. Ou... Les options sont ouvertes, mais aucune ne semble satisfaisante pour les uns et les autres.

C'est là, la limite. D'où mon conseil de l'App Signal même si imparfaite (et en fait avec backdoor probable pour les USA et la NSA).

Autrement formulé par ordre sécuritaire, les échanges par iMessages sont chiffrés sur les iPhones. Cela couvre également SMS, MMS et RCS lorsqu'ils sont utilisés par l'application Message entre iPhone. Par contre, cela devient non-chiffré lorsque cela sort de l'écosystème Apple vers d'autres environnements ou exploité par les opérateurs locaux.

Puis il y a les choix des gouvernements d'avoir accès à ces données chiffrées et les potentielles "failles" exploitées par d'obscures entités. Qui seront tout aussi valables pour Signal, RCS et consorts...

[macdan]

Il me semble évident que, moins on en dévoile nous concernant personnellement, moins on risque d'être ennuyé par les fâcheux !

Salut Jack ! Tout à fait d'accord avec toi !

[Xuros]

Il me semble évident que, moins on en dévoile nous concernant personnellement, moins on risque d'être ennuyé par les fâcheux !

Salut Jack ! Tout à fait d'accord avec toi !

Pareil - rien à battre! Je ne suis pas sur les réseaux sociaux, et si la CIA veut mes photos de vacances et ma liste de course, grand bien leur fasse!

[jeandemi]

Le protocole Signal a été audité et est considéré comme relativement sûr.

Les App mobiles Signal étaient très simples et considérées comme relativement sûres.

Sauf qu'ils y ont ajouté des tonnes de fonctions et surtout des tonnes de dépendances, qui font que ces Apps non-auditées ne sont plus du tout auditable, et ont un niveau de sécurité réel sur lequel on ne peut que spéculer.
C'est le type de fonction dans lesquelles se sont cachées des backdoor sous Android, sous iOS, dans WhatsApp: l'intégration des médias et leur affichage instantané au travers d'une foultitude de dépendances au lieu de les traiter génériquement comme des fichiers sans aperçu ni rien.
Ça a permis de créer des backdoors sans information ni action de l'utilisateur. Et ça continue.
À cause de cela ça n'est plus Signal qui est en contrôle du niveau de sécurité de leur propre App open-source, mais d'autres au travers de ces multiples dépendances!

À chacun de se faire son avis, le mien est fait...

N'y a-t-il pas moyen de désactiver ces fonctions pour retrouver un fonctionnement basique mais sûr ?

Ce message a été modifié par jeandemi - 11 Feb 2025, 08:09.

[MixUnix]

on va avoir droit dans 4 posts à 'oui mais la pomme elle a pas donné lorsque le FBI a demandé ' etc, etc. bref la vieille soupe d'il y a 10 ans

ca fait des années que les USA se servent grâce à leur cloud act. je l'ai dit 10, 15, 20 fois ici et l'on n'a jamais vu fleurir un article. le souci d'iCloud est qu'il est obligatoire . on ne peut pas une fois que l 'on a acheté son superbe précieux à 1.6000 configurer son téléphone sans en passer par là.

certains ici poussent le vice jusqu'à adorer Face ID (c'est gentil pour la photo d'identité) et les plus magnanimes à fournir leur données de santé via leur fabuleuse montre. mais tout est chiffré blah blah blah.

quand on voit toute la com' de la pomme à propos de la vie privée c'est toujours pareil : du marketing. ils sont comme les autres malheureusement du coté d'androïd. Si quelqu'un a envie de croire après tout pourquoi pas, il y a des messes tous les dimanches. Ce n'est pas pour rien et pas seulement pour des raisons fiscales que la pomme avait implanté une partie de ses serveurs en Caroline du nord. des nouvelles de leur(s) serveur(s) en Europe ? donc en théorie sous droit européen ?

c'est quand même un magnifique avenir que nous allons vivre et pour quelques uns le fumeux 'mais euh quand on a rien à se reprocher yapa de problème pour tout montrer' sera encore plus d'actualité

bon allez @malloc vient dire que la pomme est formidable et que c'est pas sa faute et qu'elle va refuser en serrant fort ses poings. comme en Chine hein.

Perso j'ai un Android (après un lointain iPhone), à 280 euros qui me rend tous les services dont j'ai besoin.
Les mêmes tares de "sécurité" le touchent, avec a peu près les même tares hypocrites sur les mensonges sécuritaires.
Nus somme entrés, par nous-mêmes, dans un système Big Brother, superbement organisé par le marketing, mondialement, le tout est de se l'avouer.
Toutes vos données sont déjà connues, voilà c'est tout !
Regardez mon avatar, c'est une image de mon passé.
Ça s'appelle une "Enigma M4", le meilleur appareil de chiffrage des données de la moitié du 20ieme siècle, mais elle fut déjouée, par des intelligences.
Tout dépend de ce qu'on veut savoir....

[STRyk]

Le problème ce sont ceux qui acceptent de donner leur numéro de tel et le mail lors d'enregistrement sur les différents sites et autres "outils".
Comme ca, ils sont sûrs de pouvoir recouper les infos.
C'est du n'importe quoi et je ne jamais compris pourquoi personne ne gueule aussi fort qu'il faudrait !

Quand tu vois le scandale que c'était avec les écoutes de Mitterand... Ca fait doucement sourrir.

[trouspinette]

Quand tu vois le scandale que c'était avec les écoutes de Mitterand... Ca fait doucement sourrir.

Ces écoutes là, c'est presque du menu fretin à côté de ce que les toutous UK (et le grand maitre USA) réclament !

Un peu d'histoire, la Grande Bretagne n'en est pas à son premier coup...

[STRyk]

Oui, c'est pour ca que ca fait doucement rire.
Du blabla pour rien puisque tout est passé sans aucun problème, encore plus gros ca passera sans soucis...