Apple aurait abandonné son intention de publier une version chiffrée de bout en bout des sauvegardes iCloud. Selon Reuters, la firme aurait travaillé sur cette possibilité, il y a deux ans, avant d'y mettre un terme anticipé. De sources internes, l'agence de presse évoque deux raisons, l'une politique, l'autre pragmatique vis-à-vis de ses utilisateurs.
D'un côté, le FBI aurait fait pression sur la firme californienne et invoqué une entrave trop importante pour leurs enquêtes. Pour le Bureau, le chiffrement allait très certainement leur ôter un moyen de preuve, plus accessible qu'une demande de déverrouillage d'un iPhone. Après San Bernardino, elle aurait pu être accusée de protéger certains criminels en ne donnant pas l'accès à ces sauvegardes. En outre, un tel dispositif aurait pu contraindre le législateur à adopter des textes sur le chiffrement, voire à en limiter l'utilisation.
De l'autre, Apple n'aurait pas été très motivée à l'idée d'héberger autant de données personnelles dans le cloud, sans avoir de clef. En cas de de perte de l'ID ou de l'iPhone, la firme serait dans l'impossibilité de récupérer la sauvegarde (un service qu'elle fait pourtant payer aux utilisateurs). Finalement, elle aurait adopté une position intermédiaire.
Sur sa page dédiée à la sécurité, Apple précise d'ailleurs : iCloud protège vos informations en les chiffrant lorsqu’elles sont transmises, en les stockant dans iCloud dans un format chiffré et en utilisant des filtres sécurisés pour l’authentification. Pour certaines informations sensibles, Apple utilise un système de chiffrement de bout en bout. Cela signifie que vous êtes la seule personne à avoir accès à vos informations, et ce uniquement sur les appareils connectés à votre compte iCloud. Personne d’autre, pas même Apple, ne peut accéder aux informations chiffrées de bout en bout.
Rappelons que des outils comme ceux deCellebrite et Grayshift ne cassent pas réellement la sécurité des iPhone. Ils devinent le mot de passe. Pour ce faire, ils exploitent a priori une faille du système permettant de supprimer le nombre limite de tentatives pour tester un mot de passe. Ils utilisent ensuite une attaque de force brute, en essayant automatiquement des milliers de codes d'accès jusqu'à trouver le bon. La difficulté -comme pour Pensacola- est la longueur et le type de mot de passe (numérique ou alpha-numérique).
