WASHINGTON - Apple et WhatsApp sont devenus des mastodontes de plusieurs milliards de dollars, tout en prêchant l'importance du respect de la vie privée, notamment en matière de messagerie sécurisée.
Mais dans un document inédit du FBI obtenu par Rolling Stone, le bureau affirme qu'il est particulièrement facile de récolter des données sur les services WhatsApp de Facebook et iMessage d'Apple, à condition que le FBI dispose d'un mandat ou d'une assignation à comparaître. À en juger par ce document, "les applications de messagerie chiffrée les plus populaires, iMessage et WhatsApp, sont également les plus permissives", selon Mallory Knodel, responsable de la technologie au Center for Democracy and Technology.
Mark Zuckerberg, de Facebook, a formulé une "vision axée sur la vie privée" autour de WhatsApp, le service de messagerie le plus populaire au monde. Le PDG d'Apple, Tim Cook, affirme que la vie privée est un "droit humain fondamental" et qu'Apple croit qu'il faut "donner à l'utilisateur la transparence et le contrôle", une philosophie qui s'étend à l'application iMessage, très populaire dans l'entreprise. Pour les journalistes, les militants et les opposants au gouvernement qui s'inquiètent de la surveillance de masse et des représailles politiques, les outils de messagerie sécurisés peuvent faire la différence entre faire leur travail en toute sécurité ou se trouver exposés à des dangers imminents.
Bien que le document du FBI ne soulève aucune interrogation quant à la capacité des applications à tenir à l'écart les pirates et les fouineurs, il décrit comment les forces de l'ordre disposent de plusieurs voies légales pour extraire les données sensibles des utilisateurs des outils de messagerie sécurisée les plus populaires. Le document, intitulé "Lawful Access" et préparé conjointement par la Science and Technology Branch et la Operational Technology Division du bureau, offre une vue d'ensemble de la capacité du FBI à obtenir légalement de grandes quantités de données à partir des applications de messagerie les plus populaires au monde, dont beaucoup font l'apologie de la sécurité et du chiffrement de leurs services.
Le document, daté du 7 janvier 2021, est un guide interne du FBI sur les types de données que les services répressifs fédéraux et d'État peuvent demander à neuf des plus grandes applications de messagerie. Les experts juridiques et les spécialistes des nouvelles technologies qui ont examiné le document du FBI affirment qu'il est rare d'obtenir des informations aussi détaillées du point de vue du gouvernement sur l'accès des forces de l'ordre aux services de messagerie. "Je suis ce genre de choses de très près et je travaille sur ces questions", déclare Andrew Crocker, avocat principal au sein de l'équipe des libertés civiles de l'Electronic Frontier Foundation. "Je ne pense pas avoir vu cette information exposée tout à fait de cette façon, et certainement pas du point de vue de l'application de la loi."
Après la controverse Cambridge Analytica, lorsque les médias ont révélé que les données personnelles de plus de 50 millions d'utilisateurs de Facebook avaient été récoltées sans leur permission pour créer des profils psychologiques d'électeurs américains, M. Zuckerberg a cherché à redonner au géant des réseaux sociaux l'image d'une entreprise technologique construite autour de la vie privée. Facebook entendait faire de cette vision une réalité en grande partie grâce aux choix de conception qu'il a faits avec WhatsApp, qu'il avait acquis en 2014 pour 19 milliards de dollars. Aujourd'hui, WhatsApp est l'application de messagerie la plus populaire au monde avec plus de 2 milliards d'utilisateurs. "Je crois que l'avenir de la communication se déplacera de plus en plus vers des services privés et chiffrés où les gens peuvent être sûrs que ce qu'ils se disent reste sécurisé et que leurs messages et leur contenu ne resteront pas éternellement en mémoire", écrivait-il à l'époque. "C'est l'avenir que j'espère que nous contribuerons à faire advenir".
De l'avis du FBI, cependant, WhatsApp est une source de données privées sur les utilisateurs. Selon le document "Lawful Access" du FBI, WhatsApp fournira plus d'informations pratiquement en temps réel sur un utilisateur et ses activités que presque tous les autres grands outils de messagerie sécurisée. Une assignation à comparaître ne donnera que des informations de base sur les abonnés, selon le document du FBI. En présence d'un mandat de perquisition, WhatsApp transmettra les contacts du carnet d'adresses d'un utilisateur ciblé ainsi que ceux des autres utilisateurs de WhatsApp qui ont la personne ciblée dans leurs contacts, selon le FBI.
Mais WhatsApp est unique dans la rapidité avec laquelle il peut produire des données pour les agences chargées de l'application de la loi en réponse à ce qu'on appelle un "pen register" - une demande de surveillance qui capture la source et la destination de chaque message pour un individu ciblé. Selon le FBI, WhatsApp produira certaines métadonnées de l'utilisateur, mais pas le contenu réel des messages, toutes les 15 minutes en réponse à un pen register. Le guide du FBI explique que la plupart des services de messagerie ne font pas ou ne peuvent pas faire cela et fournissent plutôt des données avec un décalage et pas du tout en temps réel : "Les données de retour fournies par les sociétés énumérées ci-dessous, à l'exception de WhatsApp, sont en fait des journaux de données latentes qui sont fournis aux forces de l'ordre en temps non réel et peuvent avoir un impact sur les enquêtes en raison des délais de transmission."
Une porte-parole de WhatsApp a confirmé les réponses en temps quasi-réel de la société à un registre d'écriture. Mais la porte-parole a ajouté que le document du FBI omet un contexte important, comme le fait que les registres d'écoute pour WhatsApp ne donnent pas le contenu réel des messages et ne s'appliquent que de manière prospective et non rétroactive. La porte-parole a déclaré que la société utilise un chiffrement de bout en bout pour le contenu des messages des utilisateurs, ce qui signifie que les forces de l'ordre ne peuvent pas accéder directement à ce contenu, et a défendu ce chiffrement des messages dans les tribunaux du monde entier. "Nous examinons, validons et répondons avec soin aux demandes des forces de l'ordre en fonction de la législation applicable, et nous l'indiquons clairement sur notre site Web et dans des rapports de transparence réguliers", a déclaré la porte-parole. Le document du FBI, a-t-elle ajouté, "illustre ce que nous disons - que les forces de l'ordre n'ont pas besoin de casser le chiffrement de bout en bout pour enquêter avec succès sur des crimes".
Cependant, même sans la possibilité de demander légalement le contenu des messages de WhatsApp, les métadonnées fournies par WhatsApp aux forces de l'ordre permettent de savoir quels utilisateurs se parlent, quand ils le font et quels autres utilisateurs figurent dans leur carnet d'adresses. La remise de ces données peut avoir de graves conséquences pour les personnes qui recherchent une messagerie réellement sécurisée et anonyme, comme les journalistes qui travaillent avec une source confidentielle ou les activistes qui font face à des menaces et des sanctions gouvernementales.
En 2017 et 2018, Buzzfeed News a publié une série d'articles explosifs sur l'ancien président de la campagne Trump, Paul Manafort, l'ambassade de Russie aux États-Unis et d'autres personnalités de premier plan, qui s'appuyaient sur un trésor de documents confidentiels du Financial Crimes Enforcement Network, ou FinCEN, du département du Trésor. Au début de l'année 2020, Natalie Edwards, ancienne conseillère principale du FinCEN, a plaidé coupable d'avoir divulgué des rapports d'activités suspectes à un journaliste anonyme, et Mme Edwards a ensuite déclaré qu'elle était une source pour le reportage de Buzzfeed. Un juge a ensuite condamné Mme Edwards à six mois de prison. Selon la plainte pénale déposée par le FBI dans cette affaire et les rapports ultérieurs, Mme Edwards et un journaliste de Buzzfeed ont échangé des centaines de messages sur WhatsApp, qu'ils croyaient être un endroit sûr pour communiquer. Au lieu de cela, les autorités utiliseront plus tard ces messages WhatsApp pour monter leur dossier contre Edwards.
"WhatsApp offrant toutes ces informations est catastrophique pour un journaliste communiquant avec une source confidentielle", déclare Daniel Kahn Gillmor, technologue principal à l'ACLU.
Les experts ont souligné que le guide du FBI ne décrit pas toute l'étendue des pouvoirs d'espionnage des forces de l'ordre. Le document, par exemple, n'aborde pas ce qui se passe lorsque la police ou les agents fédéraux ont accès à l'appareil physique d'une personne. Pour toutes ces plateformes, si les forces de l'ordre mettent la main sur l'appareil d'une personne, aucun chiffrement de bout en bout ne pourra protéger les informations contenues dans l'appareil", explique Nathan Freed Wessler, directeur adjoint du projet "Speech, Privacy, and Technology" de l'ACLU.
L'autre géant de la technologie qui peut être contraint par les forces de l'ordre à remettre des quantités potentiellement importantes de données de messagerie sensibles est Apple. iMessage, le service de messagerie texte d'Apple, est intégré à l'iPhone et est utilisé par 1,3 milliard de personnes dans le monde. Selon le guide "Lawful Access" du FBI, si une ordonnance du tribunal ou un mandat de perquisition lui est signifié, Apple doit remettre les informations de base sur les abonnés ainsi que 25 jours de données sur les requêtes effectuées dans iMessage, comme ce qu'un utilisateur ciblé a cherché dans iMessage et aussi quelles autres personnes ont recherché cet utilisateur ciblé dans l'application. Ces données n'incluent pas le contenu réel des messages ni la question de savoir si des messages ont été échangés entre différents utilisateurs.
Mais la quantité de données disponibles pour les forces de l'ordre est potentiellement beaucoup plus importante - plus importante même que les données utilisateur fournies par WhatsApp - si un utilisateur ciblé sauvegarde son activité iMessage sur iCloud, la plateforme de stockage en ligne d'Apple. Si c'est le cas, selon le document du FBI, les forces de l'ordre peuvent demander des sauvegardes de l'appareil de la cible, y compris les messages réels envoyés et reçus dans iMessage s'ils sont sauvegardés dans le nuage.
Bien qu'Apple décrive iCloud comme un service chiffré, il existe une énorme faille. Apple détient une clé de chiffrement qui permet de déverrouiller les données des utilisateurs dans iCloud, et les services de police ou les agences fédérales peuvent donc demander cette clé avec un mandat de perquisition ou le consentement du client pour accéder à certaines données utilisateur. "Vous remettez à quelqu'un d'autre la clé pour qu'il la conserve en votre nom", explique Mallory Knodel, du Center for Democracy and Technology. "Apple a chiffré iCloud mais ils ont toujours les clés, et tant qu'ils ont la clé, le FBI peut la demander".
Un porte-parole d'Apple a refusé de commenter cette affaire et a renvoyé Rolling Stone aux directives de procédure légale d'Apple, qui décrivent les types de données que la société remet aux forces de l'ordre dans certaines circonstances.
Daniel Kahn Gillmor, technologue principal de l'ACLU, affirme qu'Apple a la possibilité de mettre en œuvre un chiffrement de bout en bout pour iCloud. Mais la société aurait renoncé à le faire après que des organismes fédéraux chargés de l'application de la loi aient fait pression sur Apple, affirmant que le chiffrement complet des sauvegardes iCloud interférerait avec les capacités d'enquête du gouvernement. "Pour les fournisseurs de sauvegarde basés sur le cloud, ils pourraient s'ils le souhaitent se verrouiller hors des données de leurs utilisateurs", dit Gillmor. "iCloud n'a pas fait ce choix pour les sauvegardes iMessage".
Le document du FBI énumère plusieurs applications de messagerie pour lesquelles les forces de l'ordre disposent de données minimales sans avoir l'appareil en main. Signal ne fournit que la date et l'heure d'inscription à l'application et la date de la dernière connexion de l'utilisateur à l'application. Wickr donnera aux forces de l'ordre des données sur l'appareil qui utilise l'application, la date de création du compte et des informations de base sur l'abonné, mais pas de métadonnées détaillées, selon le document du FBI.
Cependant, le nombre d'utilisateurs de Signal et de Wickr, bien qu'en augmentation, est dérisoire par rapport à WhatsApp et iMessage, que le guide du FBI décrit comme deux des applications de messagerie sécurisée les plus permises.
Ce déséquilibre soulève des questions quant aux plaintes des forces de l'ordre concernant les applications de messagerie sécurisée et chiffrée qui interfèrent avec leur capacité à enquêter sur les crimes. Wessler, de l'ACLU, estime que l'"accès légal" du FBI devrait servir de référence la prochaine fois que des policiers ou des fonctionnaires du FBI soutiendront le fait qu'une messagerie chiffrée entrave leur travail. "Comme nous pouvons le constater, [ces plaintes sont] complètement exagérées et ne sont pas représentatives de la quantité d'informations auxquelles ils continuent d'avoir accès, même à partir de ces plateformes de communication chiffrées", explique-t-il.
Property of the People, un groupe de transparence à but non lucratif basé à Washington, D.C., a reçu le document via une demande en vertu de la loi sur la liberté d'information et l'a partagé avec Rolling Stone. "La vie privée est essentielle à la démocratie", déclare Ryan Shapiro, directeur exécutif de Property of the People. "La facilité avec laquelle le FBI surveille nos données en ligne, fouillant les détails intimes de notre vie quotidienne, nous menace tous et ouvre la voie à un régime autoritaire."
source :
https://www.rollingstone.com/politics/politics-features/whatsapp-imessage-facebook-apple-fbi-privacy-1261816/