Le cryptage utilisé par le service Apple d'iMessage empêche les forces de l'ordre de procéder à une interception, même avec les moyens accordés par une ordonnance de la cour fédérale, selon une note de service interne de la US Drug Enforcement Administration (DEA) obtenue par CNET . En raison de la méthode de cryptage utilisée par Apple, il est «impossible d'intercepter les iMessages entre deux appareils Apple», indique le mémo.
Apple s'est vanté du «cryptage de bout en bout sécurisé» du service lorsqu'il a été lancé en juin 2011, et les utilisateurs ont afflué vers le service gratuit, qui nécessite un iDevice Apple et un compte iCloud. Le PDG d’Apple, Tim Cook, a déclaré à l’audience lors de la mini conférence iPad en octobre 2012 que plus de 300 milliards d’iMessages avaient été envoyés jusque-là.
Contrairement aux messages texte traditionnels, qui sont transmis via le canal de contrôle réseau d'un opérateur, les iMessages sont cryptés et envoyés sous forme de données via la connexion Internet d'un appareil mobile, les serveurs d'Apple coordonnant l'échange. Par conséquent, les moyens traditionnels utilisés par les forces de l'ordre pour obtenir des SMS par le biais d'une coopération judiciaire avec des opérateurs de téléphonie mobile ne s'appliquent pas à iMessages.
Selon le mémo de la DEA, le bureau de l'agence à San Jose a initialement pris conscience du problème après avoir découvert que les enregistrements de messagerie d'une personne surveillée, obtenus de Verizon par une ordonnance du tribunal, étaient incomplets. iMessage est activé uniquement lorsque l'expéditeur et le destinataire utilisent iDevices avec un compte iCloud. Lorsqu'un utilisateur d'iMessage envoie un message à une personne qui n'utilise pas le service, les données sont transmises via un SMS standard. La DEA a donc découvert que seuls ces échanges SMS traditionnels étaient visibles pendant l'opération de surveillance; Les messages du suspect ne l'étaient pas.
En raison de la méthode de cryptage utilisée par Apple, il est impossible d'intercepter les iMessages entre deux appareils Apple.
Alors que de nombreux citoyens applaudissent à ce que l’on pourrait considérer comme une victoire au nom de la protection de la vie privée, les responsables de l’application de la loi considèrent la situation comme un obstacle grave à leur capacité de lutter contre les activités criminelles. En réponse, des agences telles que le FBI ont commencé à faire pression sur le Congrès pour que de nouvelles lois résolvent les problèmes posés par les communications sur Internet.
Robert Mueller, directeur du FBI
La loi relative à l'assistance aux communications et à l'application de la loi (CALEA) est au cœur des efforts des forces de l'ordre. Adopté en 1994, CALEA oblige les entreprises de télécommunications à fournir des «backdoors» à leurs réseaux afin que les organismes chargés de l'application de la loi puissent facilement accéder aux communications d'un suspect. Bien que très efficace pour la surveillance téléphonique terrestre et cellulaire, l'exigence de la porte dérobée de la Loi ne s'applique pas aux entreprises qui développent ou déploient des technologies de communication basées sur Internet, telles que la VoIP, le courrier électronique et la messagerie instantanée.
La modification ou le remplacement de CALEA est donc devenu une priorité absolue pour les forces de l'ordre, mais les défenseurs des droits de la vie privée et les entreprises ont rendu difficile la progression du mouvement, en dépit de l'urgence croissante exprimée par les principaux responsables. Le mois dernier, Robert Mueller, directeur du FBI, a déclaré devant un comité de la Chambre:
Il existe un fossé grandissant et dangereux entre le pouvoir légal des forces de l'ordre de mener une surveillance électronique et sa capacité réelle à mener une telle surveillance. Nous devons veiller à ce que les lois en vertu desquelles nous opérons et qui protègent le droit à la vie privée des individus soient adaptées aux nouvelles menaces et aux nouvelles technologies.
Comme le souligne CNET, les forces de l'ordre disposent encore d'options si le Congrès échoue à modifier CALEA. Sur autorisation judiciaire, les responsables de l'application de la loi peuvent accéder en secret au domicile ou au bureau du suspect et installer un logiciel de journalisation des frappes au clavier pour capturer les messages et les mots de passe. Ils sont également autorisés à envoyer le logiciel malveillant suspect qui peut soit prendre le contrôle de l'appareil d'un suspect, soit surveiller en silence les activités de l'appareil. Cependant, ces méthodes sont beaucoup plus risquées, prennent beaucoup de temps et sont potentiellement dangereuses. C'est pourquoi les défis auxquels CALEA sera confrontée feront probablement les gros titres dans les mois à venir.
