Recevez chaque jour toute l'actualité du numérique

x

Comment Apple a affaibli la sécurité des données de ses clients chinois pour plaire à Pékin

Vu ailleurs Apple aurait cédé à de nombreuses demandes gouvernementales chinoises, rapporte le New York Times. Parmi celles-ci, le rapatriement des données des clients chinois, ainsi que les clés de déchiffrement, dans un nouveau data center situé à Guiyang et opéré par une société appartenant au gouvernement. Cette localisation affaiblit considérablement la sécurité de ces informations. Apple a même dû développer son propre module de sécurité matériel car celui de Thales, qu'il utilise dans le reste du monde, n'a pas été autorisé par Pékin.
Twitter Facebook Linkedin Flipboard Email
×

Comment Apple a affaibli la sécurité des données de ses clients chinois pour plaire à Pékin
Comment Apple a affaibli la sécurité des données de ses clients chinois pour plaire à Pékin © Brian Matangelo/Unsplash

Un tout nouveau data center d'Apple situé à Guiyang, la capitale de la province de Guizhou en Chine, devrait ouvrir ses portes en juin 2021. L'ensemble des données des utilisateurs chinois d'iCloud y sera stocké, de même que les clés de déchiffrement associées. Pour rappel, ce service cloud permet aux détenteurs d'appareils Apple de stocker des photos, des vidéos, des fichiers, des emails ou encore des notes écrites.

Garder la main sur les données
Cette stratégie – connue sous nom de "Golden Gate" – est une réponse aux demandes croissantes des autorités chinoises de garder la main sur les informations de leurs citoyens, notamment en cas d'enquêtes policières nécessitant d'accéder à certaines informations, rapporte le New York Times dans un article publié le 17 mai. Pour parvenir à cette conclusion, le média américain a épluché des documents internes d'Apple, interrogé 17 actuels et anciens employés et échangé avec quatre experts en sécurité informatique. 

Il faut revenir quelques années en arrière pour comprendre les raisons qui ont poussé Apple à affaiblir le niveau de sécurité d'iCloud en Chine. En novembre 2019, Pékin a adopté une nouvelle loi obligeant toutes les "données personnelles et les données importantes" collectées à être conservées sur le sol chinois pour éviter qu'une puissance étrangère puisse y accéder. Ce texte est entré en vigueur en juin 2017.

Apple réalise un cinquième de son chiffre d'affaires en Chine
En parallèle, une loi américaine interdit aux entreprises américaines de transmettre des données aux autorités chinoises. Présent aux Etats-Unis et en Chine, Apple était face à un dilemme. L'une des options était de ne pas céder aux pressions chinoises en laissant toutes les données aux Etats-Unis, ce qui revenait à faire une croix sur le marché chinois. Or, Apple réalise un cinquième de son chiffre d'affaires en Chine et y fait assembler la quasi-totalité de ses produits. 

L'entreprise a donc décidé de passer un accord avec les autorités tout en contournant la loi américaine. Ainsi, en Chine, Apple a cédé la propriété des données de ses clients à Guizhou-Cloud Big Data (GCBD), une société appartenant au gouvernement de la province de Guizhou. Il a donc récemment demandé à ses clients chinois d'accepter des nouvelles conditions générales d'iCloud qui désignent GCBD comme fournisseur de service. 

Les modules de sécurité matériel de Thales rejetés par la Chine
Le New York Times a également découvert qu'Apple utilise une technologie de chiffrement différente en Chine de celle utilisée dans tous les autres pays où il opère. Les clés de déchiffrement sont stockées sur des appareils spécialisés, connus sous le nom de "module de sécurité matériel" (HSM). Il s'agit de processeurs dédiés au chiffrement spécialement conçus pour protéger les clés. Ce sont les HSM de Thales, expert reconnu en matière de sécurité, qui sont utilisés par Apple à travers le monde.

Or, pour des raisons inconnues, ce choix ne convenait pas aux autorités chinoises. Apple a donc dû développer de nouveaux appareils qui reposent sur la plateforme de streaming Apple TV. Cependant, elle réfute que ces changements aient réduit le niveau de sécurité des données de ses utilisateurs chinois. "Nous n'avons jamais compromis la sécurité de nos utilisateurs ou de leurs données en Chine", a déclaré Apple au New York Times

Plusieurs dizaines de milliers d'applications supprimées
A travers son enquête, le New York Times montre également comment Apple a cédé aux pressions chinoises pour la suppression de dizaines de milliers d'applications au cours des dernières années. Sont concernés des services de rencontre pour les personnes homosexuelles, des applications de messageries cryptées... Au total, ce sont 55 000 applications qui ont disparu de l'App Store en Chine. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.