Que se passe t-il chez Apple ?
Une question que bon nombre se pose depuis des années. Question d’autant plus légitime lorsqu’il est possible de lire quotidiennement des prises de positions ambivalentes par la multinationale américaine. Effectivement, Apple ne cesse d’arguer que l’entreprise oeuvre pour la confidentialité et la sécurité de ses clients. Une position devenue quasiment l’objectif numéro un au regard des campagnes publicitaires menées aux budgets colossaux. Ces publicités mettent en avant la volonté de la société de garantir la vie privée de chacun des utilisateurs d’un produit à la pomme. Il est même possible de relever que la marque a une page dédiée sur son site. Apple s’est lancé dans cette course à l’hyper confidentialité, depuis les révélations d’espionnage par la NSA et ses partenaires internationaux par le journal The Guardian le 6 juin 2013 suite au témoignage d’Edward Snowden ex-agent de la CIA et ex-analyste contractant de la NSA. Une telle annonce a provoqué une vague d’indignation dans le monde entier et a poussé de nombreux États à durcir leur législation sur la protection de la vie privée et plus particulièrement sur la protection des données privées. L’Union européenne a justement pris la décision d’adopter le Règlement sur la protection des données (RGPD) dans ce contexte. Au-delà des décisions juridiques, les entreprises de la tech ne pouvaient fermer les yeux et se sont évidemment engagées dans une course à la confidentialité.
Apple et la publicité ciblée : une fâcheuse histoire
Tel que mentionné ci-dessus, ce fut le cas d’Apple, en mettant en place, à travers son système d’exploitation mobile (iOS), une réelle politique de confidentialité, notamment avec iOS 14.5 qui a proposé une fonctionnalité d’anti-pistage publicitaire des applications. Cette fonctionnalité laisse le choix à l’utilisateur d’avoir, au sein d’une application, une publicité ciblée ou non. L’anti-pistage d’Apple aurait coûté des dizaines de milliards aux diverses sociétés détenant des réseaux sociaux, en particulier Facebook. Néanmoins, Twitter a affirmé que cette fonctionnalité n’avait pas eu d’impact sur ses résultats.
Le refus ferme de collaboration au nom de la sécurité des utilisateurs
- En 2016, au lendemain de la fusillade de San Bernardino survenue fin 2015, le FBI avait alors demandé à Apple de déverrouiller le téléphone de l’auteur de la fusillade, afin de faire progresser l’enquête. Cependant, la marque à la pomme s’est toujours opposée fermement arguant qu’elle ne mettrait pas en péril la sécurité de ses autres utilisateurs. L’agence américaine avait finalement réussi à accéder au contenu de l’iPhone du suspect en faisant appel à une société tierce (Azimuth Security) au prix de 900 000 dollars. L’histoire s’est répétée en 2020 à la suite de la fusillade survenue sur la base militaire de Pensacola. Mais encore une fois, l’entreprise s’est contentée de répondre par la négative dans un communiqué : « nous avons le plus grand respect pour l’application de la loi et avons toujours travaillé en coopération pour aider leurs enquêtes », « quand le FBI nous a demandé des informations concernant cette affaire il y a un mois, nous leur avons donné toutes les données en notre possession et nous continuerons de les soutenir avec ce dont nous disposons ». Apple a insisté sur le fait de ne pas avoir la possibilité et la volonté de déverrouiller un iPhone à distance.
- Plus récemment, Apple s’est retrouvé en procès contre Epic games pour se voir contraindre de ne pas imposer son système de paiement aux éditeurs d’application, ainsi que l’obligation d’autoriser d’autres plateformes de magasin en ligne d’application sur son système. Or, Apple a argué sur ce dernier élément ne pas souhaiter ouvrir le sideloading (i.e installer des applications sans passer par l’App Store) et des App Store tiers sur iOS. L’entreprise affirme qu’une telle obligation mettrait en péril la sécurité et la vie privée des utilisateurs. Pire encore, l’entreprise estime qu’une telle obligation pourrait mettre en péril l’écosystème qu’elle a construit. Pourtant, un projet de loi outre-atlantique prévoit l’obligation pour Apple d’ouvrir son système. Et c’est sans compter les nombreux procès et investigations ouverts par des États, notamment la France et la Russie, ou par l’Union européenne pour mettre fin à l’antitrust de l’entreprise. Il est plus qu’évident qu’un enjeu économique important se cache.
Un espionnage massif dirigé en partie envers des produits d’Apple : le projet « Pegasus »
La position d’Apple sur ces deux derniers points peut s’entendre, notamment avec l’enquête du journal « Le Monde » et de seize autres rédactions à propos du « Projet Pegasus » en juillet 2021 qui a révélé un système mondial d’espionnage de téléphones. L’enquête révèle que onze États ont espionné des journalistes, opposants politiques, militants des droits de l’homme, chefs d’États et d’autres, au moyen du logiciel espion Pegasus édité par l’entreprise israélienne NSO Group. Les rédactions ont exploité une liste résultant d’une fuite d’informations. Cette liste recense 50 000 numéros de téléphone de cibles potentielles du logiciel Pegasus, présélectionnées par les États clients de l’entreprise israélienne NSO. Pegasus est un logiciel espion pour iOS et Android qui s’installe sur les téléphones mobiles sans que la cible ne s’en aperçoive. Le logiciel a pour but de collecter des informations et de permettre un accès total aux fonctions des appareils touchés et à l’ensemble des données présentes en mémoire.
À la suite de ces révélations, Apple a annoncé porter plainte contre la société NSO Group. Craig Federighi, vice-président d’Apple chargé d’iOS et de macOS, a déclaré : « Les acteurs parrainés par l’État comme NSO Group dépensent des millions de dollars pour des technologies de surveillance sophistiquées sans avoir à rendre des comptes. Il faut que cela change. Les appareils Apple sont le matériel grand public le plus sûr du marché, mais les entreprises privées qui développent des logiciels espions parrainés par des États sont devenues encore plus dangereuses. Bien que ces menaces de cybersécurité ne touchent qu’un très petit nombre de nos clients, nous prenons très au sérieux toute attaque contre nos utilisateurs, et nous travaillons constamment à renforcer les protections de sécurité et de confidentialité d’iOS pour assurer la sécurité de tous nos utilisateurs ».
Le groupe a également décidé de mettre en place un système permettant d’alerter tous les utilisateurs touchés par le logiciel espion. Le 26 novembre 2021, Apple a pu alerter la procureure polonaise Ewa Wrzosek, membre de l’association « Lex Super Omnia » et opposante au gouvernement polonais actuel. La procureure a confirmé l’information sur son compte Twitter tout en indiquant avoir demandé des explications au Ministre polonais à la justice : « Je viens de recevoir une alerte de @AppleSupport concernant une éventuelle cyberattaque sur mon téléphone par les services de l’État. Avec l’indication que je peux être ciblée pour ce que je fais ou qui je suis. Je vais prendre l’avertissement au sérieux car il a été précédé d’autres incidents ». Une révélation qui ne devrait pas arranger le récent climat de conflit qui règne entre l’Europe et la Pologne.
La « légère » tentative d’atteinte à sa politique de confidentialité au nom de la lutte contre la pédopornographie
En août 2021, Apple a annoncé souhaiter s’engager davantage dans la lutte contre la pédopornographie grâce à son algorithme d’analyse des photos NeuralMatch. Une telle annonce a surpris puisque seulement quelques semaines auparavant avait été dévoilé le projet « Pegasus » mettant en lumière des failles de sécurité majeure. Idéalement, cette technologie devait voir le jour avec iOS 15 en septembre 2021. Néanmoins, Apple a fini par reporter le système, en admettant s’être mal exprimé, sans annoncer une nouvelle date de disponibilité tant la critique était importante et hostile. De nombreux détracteurs (l’EFF, Edward Snowden, le parlement allemand, et d’autres) ont estimé qu’Apple pourrait également analyser d’autres types de contenus que ceux prévus, remettant en cause la vie privée et d’autres libertés sous couvert d’agir contre certains crimes et délits. Les réticences se sont également portées sur les outils proposés afin de lutter contre les contenus pédopornographiques sur ses appareils et services. Effectivement, de nombreux experts en sécurité informatique ont affirmé redouter que ce dispositif n’ouvre la boîte de Pandore de la surveillance de masse en raison du manque de recul de la part d’Apple. Il est fort probable que la technologie soit dans les cartons depuis un certain moment, mais il n’empêche qu’annoncer une tel outil seulement 1 mois avant son lancement interroge à juste titre.
Début octobre, des experts en cybersécurité épinglaient Apple à propos d’ « une technologie dangereuse ». Ils pointaient du doigt cette technologie qui permettrait l’analyse des photos au niveau de l’iPhone pour lutter contre la pédopornographie. Après avoir étudié en long et en large les projets d’Apple visant à surveiller les téléphones des utilisateurs à la recherche de contenus illicites, ces derniers ont constaté dans leur étude, rapportée par le journal The New York Times, que les méthodes envisagées étaient inefficaces et dangereuses. Ils en ont même conclu qu’elles seraient susceptibles d’encourager la surveillance gouvernementale à grande échelle qui n’est pas sans rappeler l’affaire Snowden de 2013.
Quelle technologie ?
D’une part, la fonctionnalité n’est pas nécessairement révolutionnaire puisque Apple scanne les messages sur iCloud Mail depuis 2019. D’autre part, pour résumer, les fonctionnalités consisteraient en l’analyse côté client des bibliothèques photos (iCloud) des utilisateurs pour y déceler la présence de contenus pédopornographiques. À cela, il faut également relever une nouvelle fonctionnalité dans l’application Messages pour avertir les enfants et leurs parents lorsqu’ils reçoivent ou envoient des photos sexuellement explicites. Cette dernière a d’ailleurs été finalement mise en place au sein de la bêta de iOS 15.2.
Apple a pu affirmer que ce nouveau Big Brother serait le plus respectueux possible de la vie privée selon les propos rapportés par France 24, puisque l’algorithme réduit seulement chaque fichier à un identifiant numérique – l’équivalent d’une empreinte digitale – et cherche une éventuelle correspondance dans le fichier des plus de 200 000 images d’abus sexuels sur mineurs du National Centre for Early Music (NCEM).
Pourtant, cette technologie ne peut assurer et garantir une sécurité optimale. Le risque qu’elle tombe entre de mauvaises mains, notamment dans celles de black hat ou d’État non-démocratique, est trop important car elle leur permettrait d’analyser tout le contenu du téléphone assurant une récolte de données personnelles massives. Aussi, le risque pour la garantie des libertés est grand.
« L’expansion des pouvoirs de surveillance de l’État est vraiment en train de franchir une ligne rouge », a déclaré Ross Anderson, professeur d’ingénierie de la sécurité à l’université de Cambridge.
Par ailleurs, la mise en place de l’algorithme NeutralMatch est sans retour. Il ne suffira que de l’ajuster pour l’étendre à l’analyse de d’autres contenus ou pour lutter contre d’autres causes plus ou moins légitimes. Dans le documentaire « Tous surveillés : 7 milliards de suspects », de Sylvain Louvet, est mis en exergue le déploiement massif des dispositifs de surveillance en Chine, notamment dans la province du Xinjiang où les Ouïghours sont réprimés. Ce déploiement de dispositifs de surveillance était à l’origine pour un motif des plus nobles : la lutte contre le terrorisme. Finalement, il n’a été que le prétexte utilisé par la Chine pour sa politique de persécution de la minorité musulmane des Ouighours.
Durant une table ronde consacrée à l’initiative d’Apple, David Thiel, directeur technique de l’Observatoire de l’Internet de Stanford, a averti du risque : « les gouvernements, y compris celui des États-Unis, vont inévitablement demander à Apple d’adapter ce dispositif à la lutte contre le terrorisme. Et on sait à quel point cette notion peut avoir des sens différents d’un pays à un autre ».
Sans volonté d’être alarmiste, il est certain que les prochains mois seront décisifs pour la protection de la vie privée et plus largement le maintien des libertés publiques. Penser qu’il s’agit de la seule solution pour lutter contre des crimes et délits relève de l’irresponsabilité. Il n’est pas sûr que même un texte comme le RGPD puisse suffisamment encadrer une telle technologie, même avec le principe « privacy by design ». Il reste alors à prendre la bonne décision : légiférer ou ne pas légiférer. Est-il nécessaire de contraindre les entreprises du numérique à ne pas mettre en oeuvre de telles technologies ? Alors qu’elles pourraient d’elles-mêmes prendre leur responsabilité.
Anthony THOREL