La sécurité d’iCloud change en Chine et inquiète les défenseurs des droits de l’Homme

Sécurité

Par Elodie le

Apple va déménager son iCloud et les clés d’accès des utilisateurs chinois sur le territoire national, comme l’exige la nouvelle législation chinoise. Une initiative qui laisse craindre pour la confidentialité et la sécurité des citoyens et dissidents du régime. Apple assure que les clés resteront sécurisées, mais présente toutefois une alternative à iCloud.

La Chine est un marché crucial pour les géants de la tech. Pour s’y faire une place, ils sont prêts à faire quelques sacrifices.

En 2016, Facebook avait élaboré un outil de censure pour assurer son retour sur le territoire. La plateforme n’a plus droit de cité depuis son éviction en 2009, tout comme sa filiale Instagram depuis 2014. La plupart des réseaux sociaux y sont interdits ou ponctuellement bloqués (à l’instar de WhatsApp en amont du Congrès du PCC d’octobre dernier), quand ils n’opèrent pas eux-mêmes la censure requise, les VPN « non autorisés » par le gouvernement sont également proscrits, ainsi que tout ce qui ferait obstacle au grand Firewall, l’outil de censure du pouvoir. Google a préféré faire ses valises en 2010 après bien des concessions.

Le ver est dans le fruit

Aujourd’hui, c’est au tour d’Apple de mettre de l’eau dans son vin pour se mettre au diapason de la législation chinoise. Depuis juin dernier, la nouvelle loi sur la cybersécurité est entrée en vigueur en Chine. Elle stipule que l’ensemble des données des internautes chinois doivent demeurer sur le territoire national, quel que soit le service utilisé, et être traitées par des entreprises chinoises. Le transfert de données issues de la Chine vers un autre pays n’est autorisé qu’aux fins de bon déroulement d’une transaction.

Toutes les entreprises considérées comme des « infrastructures critiques d’information » doivent se plier à ces règles si les données recueillies ou générées en Chine représentent des « informations personnelles » ou des « données critiques ».

Les services iCloud d’Apple en Chine – stockage des photos, notes, contacts, etc. – seront donc bientôt gérés par une société publique chinoise créée et financée par le gouvernement de Guizhou : Guizhou on the cloud Big data (GCBD). Cette province située dans le sud de la Chine hébergera le tout premier data center d’Apple dans ce pays. Les travaux ont déjà débuté et avoisineront le milliard de dollars.

Un data center ou rien

Apple a bien tenté de soustraire iCloud à ces nouvelles lois chinoises, mais a « finalement échoué ». La firme a la pomme préfère donc ouvrir un data center en Chine plutôt qu’interrompre le service. Selon elle, cela nuirait à l’expérience utilisateur et réduirait la confidentialité et la sécurité des données de ses clients chinois.

Sous couvert de lutte contre le terrorisme, les cyberattaques et autres enjeux nationaux, de nombreux pays exigent que les données de ses citoyens soient hébergées sur leur territoire. Mais cette démarche inquiète puisqu’elle permet une surveillance accrue des dissidents et autres opposants politiques.

Soumise aux lois chinoises

En effet, jusqu’à présent, les données des utilisateurs chinois restaient stockées sur des serveurs américains et n’étaient accessibles aux autorités – Chinoises ou autres – que sur requêtes judiciaires (US cela s’entend). Désormais, elles seront accessibles beaucoup plus simplement au pouvoir.

« Désormais, selon Apple, pour la première fois la firme stockera les clefs de chiffrement pour les comptes iCloud chinois directement en Chine. Ce qui veut dire que les autorités chinoises n’auront plus besoin de passer par les tribunaux américains pour obtenir des informations sur des utilisateurs iCloud ; elles pourront, à la place, utiliser leur propre système juridique pour demander à Apple l’accès aux données des ressortissants chinois », ont expliqué des experts juridiques à Reuters.

Apple tente de rassurer en expliquant que les valeurs défendues par l’entreprise ne changent pas d’un pays à l’autre, mais l’entreprise doit néanmoins se conformer aux lois en vigueur dans chaque pays.

La firme précise en outre que ce déménagement ne signifie pas qu’une sorte de « porte dérobée » est octroyée à la Chine sur les données des utilisateurs chinois. Apple, et Apple seulement, contrôlera les clés de chiffrement de ces comptes, conservées dans un « endroit sûr » et désormais co-brandés avec le nom de son nouveau partenaire local. Une première !

Seul iCloud est concerné

Toutefois, Cupertino tient à rappeler que seules les données stockées dans le cloud seront potentiellement accessibles aux autorités chinoises, contrairement à celles stockées sur l’appareil. Apple a prévenu ses clients chinois que leurs données seront transférées vers le data center chinois le 28 février prochain, tout en leur délivrant la marche à suivre pour stocker leurs informations sur leur appareil, s’ils choisissaient de se passer d’iCloud à l’avenir.

Il n’est pas nécessaire d’activer iCloud pour utiliser son iPhone lors de sa configuration. Toutefois, si l’utilisateur active iCloud, les réglages par défaut de l’appareil créent automatiquement une sauvegarde iCloud. Les données des utilisateurs chinois ne seront déplacées qu’après l’acceptation des nouvelles conditions d’utilisation (Hong Kong, Taiwan et Macau ne font pas partie des zones concernées).

Craintes pour les dissidents

Les défenseurs des droits de l’homme craignent que les autorités utilisent ce pouvoir pour surveiller, si ce n’est traquer, les opposants politiques. Ils rappellent à cette occasion qu’une dizaine d’années auparavant, Yahoo avait fourni des informations qui avaient conduit à l’arrestation et l’emprisonnement de deux défenseurs de la démocratie.

L’année dernière, les trois géants du web chinois – Tencent, Baidu et Weibo – ont été condamnés à la « peine maximale » pour ne pas avoir supprimé du contenu considéré comme des fake news par les autorités, de la pornographie et des contenus « incitant à des tensions éthiques » et « menaçant l’ordre social ».

Cette concession d’Apple illustre la difficile réalité des sociétés technologiques américaines désireuses d’opérer en Chine. Si elles ne se plient pas aux desiderata des autorités, en liant notamment des partenariats avec des entreprises locales pour gérer les données stockées chinoises, elles risquent de se fermer un marché riche de millions de consommateurs. En dépit des risques d’espionnage industriel et/ou de violation des libertés des clients chinois.

La police chinoise est désormais dotée de lunettes à reconnaissance faciale