Apple enregistre les numéros de téléphone contactés par iMessage et est susceptible de les communiquer à la police, indique, alarmiste, The Intercept sur la foi d'un document visiblement destiné aux autorités (« iMessage FAQ for Law Enforcement »).
À chaque fois que l'on tape un numéro dans l'application Messages, celle-ci contacte les serveurs d'Apple pour savoir s'il faut envoyer le message via SMS (bulle verte) ou iMessage (bulle bleue). Durant cette opération, Apple enregistre le numéro de téléphone saisi, ainsi que la date et l'adresse IP de l'émetteur, et les consigne pendant 30 jours, selon le document. Ces informations, l'entreprise peut les fournir aux autorités si elles en font la demande en bonne et due forme.
Est-ce que cela est anormal et va à l'encontre des promesses de confidentialité d'Apple ? Non. Contactée par The Intercept, la firme reconnait que « dans certains cas, [elle a] la possibilité de fournir [aux autorités] des données venant des enregistrements serveurs qui sont générées quand les clients accèdent à certaines apps sur leurs appareils. » Et de préciser que ces données ne comportent pas le contenu des messages (qui sont chiffrés de bout en bout).
L'avocat spécialiste du numérique Alexandre Archambault souligne que ce n'est pas un mystère qu'Apple enregistre les numéros de téléphone des destinataires des messages. Comme les autres opérateurs de communications électroniques, elle est tenue par la loi de conserver « les données permettant d'identifier le ou les destinataires de la communication » — ce qui tord le cou à la légende urbaine selon laquelle elle ne coopérerait pas avec les autorités, fait remarquer au passage le juriste.
Il pointe également un document portant sur les règles juridiques suivies par l'entreprise, dans lequel il est précisé qu'elle enregistre diverses métadonnées (heure, date, adresses) des conversations par emails — il n'y a pas de mention explicite des discussions iMessage toutefois.
Ce qui peut réellement interroger, c'est la procédure d'accès aux métadonnées par les autorités américaines, note Alexandre Archambault. Cette procédure est plus légère que celle pour accéder au contenu iCloud, puisqu'elle ne demande pas l'autorisation préalable d'un juge.
« Ceci dit, ce n'est pas fondamentalement différent de ce qui est pratiqué en Europe en général, et en France en particulier, nous explique l'avocat. Une simple réquisition d'un officier de police judiciaire (ou d'une autorité administrative) suffit pour obtenir des métadonnées, là où il faut une autorisation d'un juge ou de la Commission nationale des interceptions de sécurité [une nouvelle autorité instaurée avec la loi Renseignement en 2015, ndr] pour obtenir du contenu. »
Pour conclure, l'expert en sécurité Jonathan Zdziarski souligne que toutes les applications de messagerie lâchent des métadonnées en bout de course, y compris les plus réputées, comme Signal.
