Un service de localisation décentralisé et privacy by design entre appareils

Nous vous présentions en 2016, dans un article LINC (Protection des données dès la conception : le cas de la géolocalisation des appareils), les différentes approches des constructeurs de smartphones pour géolocaliser les appareils. En 2019, Apple annonçait lors de sa conférence WWDC que les versions iOS 13 et macOS Catalina vont mettre en œuvre un nouveau service de géolocalisation, dénommé Find My, sans qu'Apple ni quiconque autre que le propriétaire du terminal ne puisse connaitre celle-ci. Ce service a vocation à permettre de retrouver des appareils égarés, voire volés. 

Clés chiffrées et beacon bluetooth

Concrètement, un propriétaire d'au moins deux appareils Apple les enregistre dans le service. Ces appareils vont ensuite partager entre eux une clé privée, qu’ils utiliseront pour déchiffrer les messages venant du serveur d'Apple, ainsi qu'un ensemble de clés publiques associées à cette clé privée qui seront utilisées pour chiffrer les messages à destination du serveur. Compte tenu de la manière dont ces clés publiques sont générées, il ne sera pas possible d'établir une corrélation entre elles dans le temps : ces clés publiques sont transmises sous forme de beacon Bluetooth de manière régulière par l'appareil, et ces clés changent régulièrement afin d'éviter que les appareils ne soient traçables sur la base d'un identifiant constant. Le détail de la cryptographie mise en œuvre n’est pas connu, et les propriétés annoncées sont totalement liées aux qualités de celle-ci, ainsi qu’aux contraintes techniques liées au protocole Bluetooth (taille des messages principalement).

En cas de vol notamment, il est très vraisemblable que l’appareil ne dispose plus de connexion internet. Cependant, celui-ci continue de transmettre une clé publique en Bluetooth et lorsque l'appareil est à proximité d'un appareil Apple d'un tiers, ce dernier va se charger de relayer au serveur Apple sa propre géolocalisation chiffrée au moyen de la clé publique reçue de l'autre appareil. Le haché de la clé est également transmis au serveur.

Le propriétaire peut ensuite utiliser son autre appareil afin de questionner le serveur en envoyant une empreinte (un haché) de la clé publique (qui est censé avoir la même valeur que pour l'appareil égaré à chaque instant), lequel va lui transmettre le chiffré de la localisation qu'il sera seul en mesure de déchiffrer, et ce faisant prendre connaissance de la dernière localisation connue de l'appareil égaré.

Apple parvient ainsi à mettre au service de chacun la puissance du maillage géographique de ses appareils, tout en garantissant la confidentialité des données. À noter que le service ne permet pas d'envoyer un message à l'appareil égaré, afin par exemple de l'effacer à distance si celui-ci était volé.

Le brevet en question

Aussi élégante la solution soit-elle, cette collecte constitue un traitement et requiert une analyse d’impact au regard des enjeux, dont la volumétrie de données de géolocalisation notamment.

Le lancement de ce service Find My fait suite au dépôt d’un brevet attribué à Apple. Comme nous l’avions souligné dans un article de LINC pour un brevet accordé à Google, le recours au brevet pose la question de la restriction des techniques de protection de la vie privée dès la conception (privacy-by-design) qui pourrait bénéficier plus largement aux individus si les techniques étaient ouvertes. Il convient de noter toutefois que le brevet ne détaille pas la totalité des mécanismes, laissant une petite possibilité de définir une solution distincte de celle mise en œuvre par la firme de Santa-Clara.