trueNetLab ⚡️
La politique de surveillance du Royaume-Uni force Apple à renoncer au chiffrement

La politique de surveillance du Royaume-Uni force Apple à renoncer au chiffrement


Le monde numérique est à nouveau confronté à un débat de fond entre protection de la vie privée et surveillance étatique – et le Royaume-Uni est actuellement le théâtre d’une discussion décisive. Au centre : la décision controversée d’Apple de lever, sous la pression du gouvernement, le chiffrement de bout en bout pour les utilisateurs britanniques d’iCloud.
En tant que Britannique de naissance, j’observe cette évolution avec la plus grande circonspection. Certes, vivant actuellement à Dubaï, je ne suis pas directement concerné, mais j’estime que les « portes dérobées » imposées par l’État sont fondamentalement problématiques et dangereuses.

Meta : Le Royaume-Uni contraint Apple à abandonner le chiffrement de bout en bout pour iCloud – un tournant critique pour la protection des données et la sécurité numérique dans le monde entier.

Contexte de la décision : pression des lois britanniques

En février 2025, Apple a annoncé qu’elle ne proposerait plus l’« Advanced Data Protection » (ADP), c’est-à-dire le chiffrement de bout en bout des données iCloud, au Royaume-Uni. En cause : un ordre des autorités britanniques fondé sur l’« Investigatory Powers Act » (IPA), également surnommé « Snoopers’ Charter » (rapport de Reuters).

Cet ordre oblige Apple soit à introduire une porte dérobée technique, soit – ce qu’Apple a finalement fait – à désactiver complètement la fonction ADP. Apple a choisi la seconde option afin de ne pas compromettre l’intégrité de son système dans son ensemble.

Concrètement, les sauvegardes iCloud au Royaume-Uni ne peuvent plus bénéficier du niveau de sécurité supérieur, rendant les données des utilisateurs potentiellement plus accessibles.

Comment fonctionne le chiffrement de bout en bout ?

Le chiffrement de bout en bout garantit que les données, durant leur transmission ou leur stockage, ne peuvent être lues que par les points d’extrémité autorisés : ni le prestataire du service ni des tiers ne peuvent accéder au contenu.
Techniquement, on recourt généralement à la cryptographie asymétrique. L’expéditeur et le destinataire possèdent chacun des clés cryptographiques uniques : un message est chiffré par l’expéditeur avec une clé publique et ne peut être déchiffré que par le destinataire prévu à l’aide de sa clé privée correspondante. Même si les données sont interceptées en transit ou stockées sur des serveurs, elles demeurent illisibles sans la clé adéquate.
En clair, si les données iCloud sont chiffrées de bout en bout, même Apple ne peut pas les déchiffrerpas même sur ordre des autorités, car Apple ne possède pas les clés nécessaires. Cette approche offre une protection élevée contre l’accès non autorisé : même en cas de fuite de données ou de piratage de serveurs, les informations chiffrées demeurent inutilisables pour les attaquants, faute de clé.

Pourquoi Apple affaiblit-elle le chiffrement ?

Apple a souligné dans une déclaration officielle qu’elle n’avait jamais intégré, et n’intègrerait jamais, de porte dérobée ni de clé maîtresse à ses produits ou services. Néanmoins, la firme a été contrainte de désactiver la protection avancée pour les sauvegardes iCloud au Royaume-Uni. Les données particulièrement sensibles, comme les mots de passe synchronisés via iCloud ou les données de santé, resteront toutefois chiffrées de bout en bout. Apple n’a donc pas totalement cédé ; l’entreprise a plutôt cherché une voie médiane entre pression politique et intégrité technique.

Il faut toutefois rappeler que de nombreux utilisateurs n’avaient même pas activé l’Advanced Data Protection pour iCloud. Cette option a été ajoutée lors d’une mise à jour d’OS, mais elle n’est pas activée par défaut. Qui l’a donc activée, à part des technophiles comme moi ?

L’Investigatory Powers Act (IPA) : la pression politique sur les entreprises

Cette évolution découle directement de l’extension de l’« Investigatory Powers Act » (IPA), la « Snoopers’ Charter », qui permet au gouvernement britannique d’émettre des ordres secrets à destination des entreprises technologiques. L’exigence faite à Apple s’appuie sur cette loi, laquelle facilite l’accès des forces de l’ordre aux communications numériques.

Apple avait déjà averti publiquement, un an plus tôt, des conséquences de l’IPA, affirmant que la protection des utilisateurs dans le monde entier serait menacée par de telles mesures. Le gouvernement britannique ne réclamait pas seulement l’accès aux comptes iCloud britanniques, mais voulait également disposer de la capacité technique d’accéder à toutes les sauvegardes iCloud dans le monde. Cela a suscité des protestations internationales, notamment aux États-Unis, où l’on s’est inquiété d’une possible violation des accords en vigueur entre les deux pays.

Plus inquiétant encore, l’IPA ne vise pas uniquement Apple. On craint que d’autres fournisseurs de services chiffrés comme WhatsApp, Signal ou Threema subissent des pressions similaires. Cela affaiblirait davantage la protection des données pour des millions d’utilisateurs et montre que la lutte contre le chiffrement ne se limite pas au Royaume-Uni.

La décision d’Apple au Royaume-Uni : qu’est-ce qui a été désactivé ?

Avec Advanced Data Protection, Apple proposait une option permettant de chiffrer de bout en bout de nombreuses données iCloud. Dans ce mode, par exemple, les sauvegardes iPhone, les photos et les notes étaient protégées de telle sorte que même Apple ne pouvait pas y accéder en clair. Sous la pression du gouvernement britannique, Apple a désactivé cette fonction pour les utilisateurs du Royaume-Uni. Les nouveaux utilisateurs iCloud sur le sol britannique ne peuvent plus activer ADP, et les utilisateurs existants seront invités à la désactiver. Apple parle d’une mesure « profondément décevante » et souligne qu’elle a dû prendre cette décision pour se conformer aux exigences légales (Apple can no longer offer Advanced Data Protection in the United Kingdom to new users - Apple Support). Avec la disparition du chiffrement de bout en bout pour les sauvegardes iCloud au Royaume-Uni, Apple peut désormais – contrairement à la situation sous ADP – accéder de nouveau, dans certains cas, aux données stockées dans le cloud et les remettre aux autorités sur injonction légale.

Le changement affecte surtout les catégories de données supplémentaires protégées par ADP. Quatorze types de données iCloud (comme le trousseau iCloud pour les mots de passe ou les données de santé) restent chiffrés de bout en bout par défaut, mais d’autres domaines retombent à un chiffrement moins strict (Standard Data Protection). Selon Apple, les utilisateurs britanniques ne peuvent plus chiffrer de bout en bout les neuf catégories de données iCloud suivantes :

  • Sauvegarde iCloud (y compris les sauvegardes d’appareils et les historiques iMessage enregistrés)
  • iCloud Drive (documents stockés dans le cloud)
  • Photos (Photothèque iCloud)
  • Notes
  • Rappels
  • Signets Safari
  • Raccourcis Siri
  • Mémos vocaux
  • Passes Wallet et contenus Freeform

Ces données ne sont plus stockées sur les serveurs d’Apple que sous forme chiffrée sans clé exclusive de l’utilisateur – Apple conserve donc un accès. Les fonctions comme iMessage et FaceTime restent certes chiffrées de bout en bout, mais dès qu’un chat iMessage se retrouve dans une sauvegarde iCloud non chiffrée, il pourrait en théorie être consulté via l’accès d’Apple. En bref, Apple a retiré le niveau de chiffrement le plus élevé de ses services cloud au Royaume-Uni. Les chercheurs en sécurité qualifient cela de recul pour la sécurité des données des utilisateurs sur place. La désactivation d’ADP signifie que les clients britanniques doivent désormais renoncer à un mécanisme de protection essentiel qui les mettait à l’abri tant des regards de l’État que des cybercriminels.

Quelles conséquences pour les utilisateurs ?

Les impacts sont lourds :

  • Les sauvegardes iCloud peuvent désormais être réquisitionnées par les forces de l’ordre ou d’autres organismes d’État.
  • Ceux qui comptaient sur la protection avancée ne peuvent plus l’activer au Royaume-Uni.
  • Les chats iMessage peuvent être indirectement compromis via les sauvegardes iCloud, car celles-ci contiennent soit les messages, soit les clés nécessaires.
  • La décision pourrait servir de modèle à d’autres pays pour exiger des mesures similaires d’Apple ou d’autres entreprises technologiques.
  • Les utilisateurs britanniques ayant déjà activé la protection avancée devront bientôt la désactiver manuellement pour continuer à utiliser iCloud.
  • Les utilisateurs du monde entier peuvent se demander si Apple n’agira pas de la même manière ailleurs, si la pression politique s’intensifie.

Quelles données sont désormais vulnérables ?

En raison de cette modification, les contenus iCloud mentionnés plus haut sont particulièrement exposés aux accès indésirables. Les sauvegardes iCloud sont considérées comme extrêmement sensibles : elles contiennent des sauvegardes complètes d’appareil, incluant historiques de chat, photos, contacts et données d’apps. Jusqu’ici, les forces de l’ordre pouvaient déjà trouver dans ces sauvegardes, par exemple, des copies de messages iMessage, car ceux-ci n’étaient pas chiffrés de bout en bout par défaut (sans ADP) – une faille qu’Apple avait elle-même reconnue et qu’ADP devait combler. Avec la désactivation d’ADP, ces sauvegardes demeurent accessibles au Royaume-Uni. Apple peut donc, sur ordre judiciaire, de nouveau déchiffrer et fournir des données issues des sauvegardes iCloud. Photos privées, documents, notes et mémos vocaux des utilisateurs britanniques sont ainsi potentiellement accessibles aux autorités, si un tribunal l’ordonne.

Du point de vue de la sécurité informatique, c’est alarmant : cette même faille peut aussi être exploitée par des criminels et des pirates. Des experts mettent en garde : toute porte dérobée intentionnelle finit tôt ou tard par être découverte et utilisée à mauvais escient. Andrew Crocker, de l’Electronic Frontier Foundation, critique la décision d’Apple, estimant qu’elle laisse les utilisateurs britanniques « à la merci d’acteurs malveillants » et leur retire une technologie de confidentialité clé. Sans chiffrement de bout en bout, les données deviennent accessibles non seulement aux autorités, mais aussi lors de vols de données ou de failles de sécurité sur les serveurs d’Apple, où elles peuvent être saisies en clair. Le renoncement à ADP représente donc un risque accru de voir des informations personnelles tomber entre de mauvaises mains – qu’il s’agisse d’abus internes, d’attaques de pirates ou de surveillance de masse.

États-Unis : réaction de l’administration Trump

L’exigence secrète adressée à Apple par le Royaume-Uni pour introduire une porte dérobée dans iCloud a provoqué un vif émoi à Washington. Le président américain Donald Trump a vivement critiqué l’initiative du gouvernement britannique et l’a comparée aux régimes autoritaires tels que la Chine. Dans une interview au magazine politique britannique The Spectator, Trump a déclaré avoir clairement signifié au Premier ministre Keir Starmer que cette mesure était inacceptable.

Début février, Apple avait reçu un ordre secret fondé sur l’IPA. Jusqu’à la mi-mars 2025, Apple n’était pas autorisée à confirmer l’existence de cet ordre ; à la suite d’une décision du Investigatory Powers Tribunal, le fait qu’une procédure soit en cours est désormais public.

Affaire Apple-FBI de 2016

Les États-Unis ne sont toutefois pas irréprochables en matière de protection des données, sans même parler du scandale PRISM. Dans l’affaire Apple–FBI de 2016, le FBI avait exigé qu’Apple développe un logiciel spécial pour contourner les protections d’un iPhone 5c appartenant à l’un des auteurs de l’attentat de San Bernardino. Le FBI argüait qu’il fallait accéder aux données pour recueillir des preuves essentielles, tandis qu’Apple refusait, estimant qu’une telle démarche créerait une porte dérobée et compromettrait la sécurité de tous les utilisateurs. Les autorités finirent par déverrouiller l’appareil via un prestataire tiers, et la demande adressée à Apple fut retirée.

Abordé lors d’une rencontre à la Maison-Blanche

La question a également été discutée au niveau diplomatique. Trump a récemment reçu le Premier ministre Keir Starmer à la Maison-Blanche pour évoquer, entre autres, l’Ukraine et un accord commercial bilatéral. Trump a alors interpellé Starmer au sujet de l’exigence britannique envers Apple. Le magazine The Spectator, autrefois dirigé par l’ex-Premier ministre Boris Johnson, rapporte que le sujet reste controversé dans les cercles conservateurs britanniques.
Le gouvernement américain craint que l’initiative britannique ne crée un précédent incitant d’autres pays à formuler de telles demandes aux entreprises technologiques.

L’ordre secret du Royaume-Uni à Apple a suscité des critiques acerbes aux États-Unis. Donald Trump l’a publiquement rejeté, comparant la mesure à des pratiques autoritaires en Chine. Dans l’interview accordée à The Spectator, il a réaffirmé qu’il avait fait savoir à Keir Starmer qu’une telle démarche était inacceptable.

L’administration Trump étudie si le Royaume-Uni viole des accords bilatéraux, notamment le Cloud Act Agreement, qui interdit de demander des données concernant des ressortissants américains sans l’approbation du gouvernement des États-Unis. En cas de violation, des conséquences diplomatiques pourraient suivre. Tulsi Gabbard, Director of National Intelligence (DNI), a mandaté des juristes pour examiner la question. Un premier avis laisse entendre qu’il y aurait bien infraction : le Royaume-Uni ne devrait pas pouvoir exiger de données d’Américains sans l’accord de Washington.

Que peuvent faire les utilisateurs ?

Les alternatives sont limitées :

  • Ne plus utiliser les sauvegardes iCloud au Royaume-Uni et créer à la place des sauvegardes locales.
  • Désactiver les sauvegardes iCloud des messageries pour une protection maximale – ainsi, les contenus iMessage, WhatsApp et autres restent uniquement sur les appareils et non sur les serveurs d’Apple.
  • Messageries open source : pour les chats et appels, privilégier des apps comme Signal ou Element, qui offrent aussi un chiffrement de bout en bout robuste.
  • Dans la mesure du possible, choisir des services offrant encore un chiffrement de bout en bout fort.
  • Se renseigner sur des alternatives aux services cloud d’Apple et de Google, moins exposés aux ingérences étatiques.
  • Exercer une pression politique afin de renforcer les droits à la protection des données, même dans les États démocratiques.
  • VPN et services de communication sécurisés : bien que la loi britannique vise surtout les données stockées et les messages, il reste utile de renforcer l’ensemble de sa communication.

Dernières évolutions (mars 2025)

Soupçon d’ordres secrets de porte dérobée également chez Google (Technical Capability Notice, TCN)

  • Selon heise online (18 mars 2025), tout porte à croire que Google, et pas seulement Apple, a reçu une TCN secrète au titre de l’IPA. Apple comme Google ont indiqué au bureau du sénateur américain Ron Wyden qu’ils n’avaient pas le droit de préciser s’ils avaient reçu une TCN – un indice clair de l’existence d’un ordre.
  • Les TCN obligent les entreprises à maintenir la capacité technique (« technical capability ») de rendre accessibles, sur demande, des contenus chiffrés. Les destinataires ne peuvent ni confirmer ni démentir publiquement leur existence.

Apple porte plainte contre l’ordre secret

  • Apple a officiellement saisi l’Investigatory Powers Tribunal (IPT) pour contester la TCN, jugeant la porte dérobée exigée disproportionnée et dangereuse pour la sécurité des données.

Pression bipartisane depuis les États-Unis

  • Une lettre ouverte transpartisane du sénateur Ron Wyden et de quatre co-signataires demande à l’IPT d’assouplir le secret entourant les TCN, du moins vis-à-vis des entreprises américaines, afin que leurs experts puissent examiner les exigences techniques. Les sénateurs avertissent que les portes dérobées imposées menacent la sécurité nationale des États-Unis et restreignent les droits à la liberté d’expression et à la vie privée.

Le tribunal lève le secret sur certains détails de la procédure

  • Dans une décision intermédiaire du 17 mars 2025, l’IPT a rejeté une requête du Home Office : l’existence de la procédure Apple v. Home Office et les noms des parties peuvent désormais être mentionnés publiquement. Le fond du dossier reste secret, mais il s’agit d’une étape vers plus de transparence et de liberté de communication pour Apple.

Conséquences pour l’article :

  • L’hypothèse selon laquelle Apple n’est « pas un cas isolé » est confirmée.
  • Le litige n’est plus entièrement secret ; Apple peut au moins confirmer qu’elle attaque en justice.
  • Les utilisateurs et observateurs pourront suivre la procédure, du moins en partie, publiquement.

Derniers mots

Cette affaire montre une fois de plus que même les États démocratiques exercent une pression croissante sur les entreprises technologiques pour affaiblir le chiffrement et accéder aux données privées. Apple a choisi une voie pragmatique – la « moins mauvaise » – en désactivant le chiffrement de bout en bout pour les utilisateurs britanniques. Le problème fondamental ne vient toutefois pas d’Apple, mais des décisions politiques prises au Royaume-Uni et, sans doute bientôt, ailleurs.

Pour les utilisateurs, c’est un avertissement clair : les données stockées dans le cloud ne sont pas automatiquement sûres. Le chiffrement reste l’un des rares moyens efficaces de protéger la vie privée numérique. Parallèlement, la question se pose de plus en plus souvent : combien d’entreprises ont déjà intégré des portes dérobées sous pression politique ?

Il s’agit sans conteste d’un sujet complexe, auquel l’utilisateur moyen peine souvent à se retrouver techniquement et juridiquement. Je suis moi-même conscient d’évoluer dans une « bulle tech » – tout comme mon cercle proche d’amis. C’est précisément pour cette raison qu’il est essentiel de mener ce débat de façon ouverte et compréhensible.

La désactivation du chiffrement de bout en bout pour les utilisateurs britanniques d’iCloud illustre de manière frappante le choc entre exigences de surveillance étatique et protection de la vie privée numérique. L’affaiblissement technique du chiffrement ouvre la porte non seulement aux autorités, mais potentiellement aussi à d’autres acteurs, à des données sensibles. Se pose dès lors la question cruciale : jusqu’où une société démocratique peut-elle tolérer la surveillance sans mettre en péril ses libertés ?

Les utilisateurs devraient protéger plus consciemment leurs données et, parallèlement, s’engager dans le débat sociétal : s’informer, sensibiliser et défendre les libertés numériques. Le précédent britannique rappelle clairement que la vie privée n’est pas une évidence. Sécurité et vie privée ne sont pas opposées, mais constituent deux piliers essentiels d’une démocratie fonctionnelle – il vaut la peine de se battre pour cet équilibre.

© 2025 trueNetLab