Sécurité : Apple peut, elle aussi, accéder aux données iCloud
Un article d'ars technica relance une petite polémique concernant la sécurité des données stockées par les services de cloud. L'an dernier, à peu près à la même époque, Dropbox avait été critiqué suite à la modification de ses conditions d'utilisation qui stipulaient clairement que l'entreprise pouvait accéder aux données de ses clients en cas de besoin (lire : Dropbox fait le point sur la sécurité). Cette fois, c'est iCloud qui est concerné.
Les conditions générales iCloud sont très claires. Dans la rubrique "Accès à votre Compte et au Contenu", on peut lire :
Apple se réserve ainsi le droit d'accéder aux données quand elle le juge nécessaire, ou si les autorités lui demandent des informations. Pour que cet accès soit possible, l'entreprise doit pouvoir déchiffrer les données stockées sur ses serveurs : iCloud chiffre vos données pour empêcher les accès non autorisés de l'extérieur, pas pour empêcher les accès de l'intérieur.
En clair, vos données personnelles sont en sécurité chez Apple et aucun internaute malveillant ne pourra normalement y accéder. Pour les afficher ou les modifier, vos identifiants iCloud sont indispensables, que ce soit directement dans le navigateur Internet ou depuis les terminaux mobiles ou les ordinateurs.
Un tiers ne peut pas y accéder, mais Apple peut à tout moment afficher, modifier ou supprimer vos données iCloud. L'entreprise dispose ainsi des clés de déchiffrement et elle peut les utiliser de manière exceptionnelle. Le contrat d'utilisation restreint les cas où Apple peut-être amenée à accéder aux données : une demande des autorités (si vous êtes suspects d'actes terroristes, par exemple) ; si vous ne respectez pas le contrat d'utilisation (en hébergeant des contenus qui ne respectent pas le droit d'auteur, par exemple) ; enfin si votre utilisation d'iCloud pose problème pour le bon fonctionnement du service ou pour sa sécurité.
Ces mesures sont normales et elles concernent toutes les entreprises qui hébergent du contenu, Apple pour iCloud comme Dropbox. Il n'y a pas lieu de s'inquiéter donc, même si Apple pourrait mieux faire en matière de sécurité des données si l'on en croit des experts interrogés par ars technica. Seul problème, des mesures plus strictes nuiraient à l'expérience utilisateur et on sait à quel point Apple tient à ce point, plus encore qu'à la sécurité des données.
Inutile de s'inquiéter, mais autant le savoir : vos données vraiment confidentielles n'ont rien à faire sur un service de cloud comme Dropbox ou iCloud. À moins bien sûr de pouvoir les chiffrer manuellement avant leur envoi sur les serveurs de l'entreprise : ce n'est pas possible avec iCloud, mais c'est facile avec Dropbox et même utilisé par certaines applications comme 1Password (39,99 €). L'Utilitaire de disque d'OS X permet aussi de créer des images chiffrées qui seront difficiles à déchiffrer sans le mot de passe associé, mais le plus sûr reste encore d'héberger les données sensibles sur ses propres serveurs.
Les conditions générales iCloud sont très claires. Dans la rubrique "Accès à votre Compte et au Contenu", on peut lire :
Vous reconnaissez et acceptez qu’Apple peut, sans engager sa responsabilité à votre égard, accéder, utiliser, préserver et/ou divulguer les informations relatives à votre Compte et Contenu aux autorités, aux représentants du gouvernement et/ou à des tiers, si Apple l’estime raisonnablement nécessaire ou approprié, si la loi l'exige ou si nous avons de bonnes raisons de croire que cet accès, utilisation, divulgation ou préservation est raisonnablement nécessaire
Apple se réserve ainsi le droit d'accéder aux données quand elle le juge nécessaire, ou si les autorités lui demandent des informations. Pour que cet accès soit possible, l'entreprise doit pouvoir déchiffrer les données stockées sur ses serveurs : iCloud chiffre vos données pour empêcher les accès non autorisés de l'extérieur, pas pour empêcher les accès de l'intérieur.
En clair, vos données personnelles sont en sécurité chez Apple et aucun internaute malveillant ne pourra normalement y accéder. Pour les afficher ou les modifier, vos identifiants iCloud sont indispensables, que ce soit directement dans le navigateur Internet ou depuis les terminaux mobiles ou les ordinateurs.
Un tiers ne peut pas y accéder, mais Apple peut à tout moment afficher, modifier ou supprimer vos données iCloud. L'entreprise dispose ainsi des clés de déchiffrement et elle peut les utiliser de manière exceptionnelle. Le contrat d'utilisation restreint les cas où Apple peut-être amenée à accéder aux données : une demande des autorités (si vous êtes suspects d'actes terroristes, par exemple) ; si vous ne respectez pas le contrat d'utilisation (en hébergeant des contenus qui ne respectent pas le droit d'auteur, par exemple) ; enfin si votre utilisation d'iCloud pose problème pour le bon fonctionnement du service ou pour sa sécurité.
Ces mesures sont normales et elles concernent toutes les entreprises qui hébergent du contenu, Apple pour iCloud comme Dropbox. Il n'y a pas lieu de s'inquiéter donc, même si Apple pourrait mieux faire en matière de sécurité des données si l'on en croit des experts interrogés par ars technica. Seul problème, des mesures plus strictes nuiraient à l'expérience utilisateur et on sait à quel point Apple tient à ce point, plus encore qu'à la sécurité des données.
Inutile de s'inquiéter, mais autant le savoir : vos données vraiment confidentielles n'ont rien à faire sur un service de cloud comme Dropbox ou iCloud. À moins bien sûr de pouvoir les chiffrer manuellement avant leur envoi sur les serveurs de l'entreprise : ce n'est pas possible avec iCloud, mais c'est facile avec Dropbox et même utilisé par certaines applications comme 1Password (39,99 €). L'Utilitaire de disque d'OS X permet aussi de créer des images chiffrées qui seront difficiles à déchiffrer sans le mot de passe associé, mais le plus sûr reste encore d'héberger les données sensibles sur ses propres serveurs.
Normal.
Des fois je me demande si MacG aurait pris autant de pincettes que dans cet article si c'était à propos d'un concurrent...
Ca tombe sous le sens. Jamais je ne confierai mes données confidentielles à un cloud.
Comme je le dis toujours, mes projets de conquête du monde sont dans mes Moleskine. Sur iCloud, il y a mes cours... Apple peut les consulter quand ils veulent, avec ma bénédiction.
@ Kelv : Il y a un an, on évoquait Dropbox. On l'a fait différemment ?
"Ces mesures sont normales et elles concernent toutes les entreprises qui hébergent du contenu, Apple pour iCloud comme Dropbox."
Non, elles sont normales pour une entreprise aux US à cause du Patriot Act. Ce qui a d'ailleurs déjà causé des problèmes à Microsoft et son service de cloud azure car les données des européens hebergés par leur service pouvait être accéder grace au patriot act ce qui est illégal en europe ...
"Des fois je me demande si MacG aurait pris autant de pincettes que dans cet article si c'était à propos d'un concurrent..."
Je me demande surtout si il y aurait eu un article si ça n'avait pas été Apple. Je suis sûr que Google en fait de même sauf que c'est pas grave quand c'est google ...
Quelque soit le site hébergé au US, ça sera la même chose. C'est une obligation légale.
Il ne vous reste donc plus qu'à chiffrer vos donnée.
Ensuite il y a des offre (comme hubic, le jour ou elle fonctionnera convenablement, ou wuala) ou c'est totalement privé. A savoir, les hébergeurs ne disposent pas des clefs de chiffrement pour décrypter vos donnée.
C'est d'ailleurs dans les CGU : "Si vous perdez votre mot de passe ... vous pouvez dire adieux à vos donnée, on ne sera pas capable de les récupérer).
Ma maman m'a interdit de confier mes donnée confidentielles aux Clouds que je ne connais pas. Même ceux qui veulent me donner des bonbons.
Heureusement face à cette hégémonie américaine nous avons des clouds grands publique, compatible iCloud / Google / Windows Live en Europe, ... ou pas.
Comme pour le "produire européen" ces entreprises liant des appareils à des services devraient être contrainte de fournir des solution hébergée en Europe et sous droit Européen.
Ils peuvent chercher mes données iCloud, ils trouveront rien d'intéressant, je l'utilise uniquement dans le cadre privé, aucun partage de fichiers. Toute façon, ils ne le proposent pas.
Peut-être iDisk, mais mon dossier Public est vide donc...
Quelle est la nouveauté? Ça existait déjà au temps de MobileMe.
Par contre, les sites anglophones ont parlé de l'accès aux données de l'iPhone via un logiciel suédois il y a plusieurs jours, et dans MacGé, rien, pas un mot...
http://9to5mac.com/2012/03/27/security-company-shows-how-easy-it-is-to-bypass-iphone-passcode/
et
http://www.cultofmac.com/156802/this-software-can-extract-your-ios-devices-passcode-contacts-call-logs-and-even-keystrokes-video/
Le gros problème supplémentaire c'est qu'ils peuvent accéder aux données, mais surtout que celles-ci sont soumises au droit américain. Or il se peut que des données soient légales en France et illégales aux US (par exemple sur des fichiers sous droits d'auteur qui tombent dans le domaine public à des années d'écart).
Ces lois du style patriot act sont d'une hérésie et stupidité sans bornes (aurais-je le droit de publier ça sur un site américain ?), ce sont des lois liberticides et très dangereuses.
Si l'on considère que mes emails, stockés sur iCloud ne sont pas confidentiels...
Bien... Dans ce cas, le cloud c'est NIET, définitivement. Par principe.
@lmouillart : +1. Surtout qu'en principe, toutes ces entreprises relaient en Europe via des serveurs basés en Europe, comme Akamai. Logiquement, tout devrait être sous nos droits et pas les leurs.
ll y avait il des gens vraiment suffisament crédule pour croire qu'Apple n'avait pas accès aux données?
De toute façon, dans le cadre d'une réquisition judiciaire, il faut bien pouvoir fournir les données. Les administrateurs de réseaux sociaux en reçoivent des dizaines par semaine. Et le cryptage n'y change de toute façon rien. La limitation de la taille des clés de chiffrement est justement faite pour que tout soit déchiffrable.
"Cette accés" ?
@mabmac :
Ne t'avance pas trop : http://9to5mac.com/2012/04/02/xrys-two-minute-iphone-passcode-exploit-debunked/
" Apple peut, elle aussi, accéder aux données iCloud"
Ca étonne quelqu'un ?
J'aimerais bien savoir qui, parmi tous ceux qui s'offusquent dans ce genre de "révélation" a vraiment des données qui, 1. pourraient intéresser le provider d'espace en ligne, 2. auraient un quelconque intérêt pour n'importe qui.
A part celui qui y met un fichier texte avec ses numéros de CB et ses pass/login iTunes, Paypal ou Gmail bien sûr. De toute façons lui il mérite de se faire dépouiller, au nom de la sélection naturelle.
Il y a bien sûr ceux qui utiliseraient cet espace en ligne pour y mettre des trucs pro, mais pareil que les précédents, même sans indiscrétion aucune, ils méritent de se faire virer.
Il reste donc la grosse majorité qui met des fichiers perso, des courriers, des images... dont tout le monde se contrefout, d'autant plus une boite qui brasse des millions de comptes...
Et c'est là à paniquer et ergoter "ho mon dieu ils peuvent lire mon journal intime !"...
Quand parano flirte avec égocentrisme.