La clairière

← La clairière

Ils n'ont pas accès à vos données ? De qui vous protège-t-on, au juste ?

Confidentialité, chiffrement, Apple, Meta et l'ombre de Snowden : une enquête fonction par fonction pour distinguer ce qui est vrai, ce qui est marketing, et contre qui

0:00

0. Introduction : la mauvaise question

« Est-ce que c’est du bullshit ? » La question revient à chaque scandale, à chaque promesse de confidentialité affichée sur une affiche géante, à chaque rappel des révélations d’Edward Snowden. On la pose en bloc, et l’on attend une réponse en bloc : soit ces entreprises nous protègent, soit elles se moquent de nous. Le problème est que la question, ainsi posée, n’a pas de réponse, parce qu’elle omet la seule variable qui tranche : de qui cherche-t-on à se protéger. La réponse honnête n’est ni « tout est du bullshit » ni « vous êtes protégés », c’est une carte, dont les entrées sont la fonction précise, le réglage par défaut, et l’adversaire.

La confidentialité n’est pas une promesse globale à croire ou à rejeter d’un seul mouvement : c’est une affaire de fait, qui se vérifie fonction par fonction, en regardant l’architecture technique, la cryptographie et le droit. On ne va pas se demander si le cynisme ambiant est compréhensible, on va se demander s’il est exact, et où.

Prenez la scène la plus banale. Une application affiche, en lettres rassurantes, que votre vie privée compte pour elle, et vous hésitez entre deux réflexes également paresseux : tout gober, ou tout balayer d’un « ils mentent tous ». Aucun des deux ne vous apprend ce qui, dans cette phrase, est vrai pour vous, parce que la phrase ne précise ni la fonction qu’elle couvre ni l’adversaire dont elle prétend vous séparer. Le slogan est conçu pour rassurer en bloc, et c’est justement parce qu’il parle en bloc qu’il ne peut pas répondre à votre question, qui est toujours particulière : protéger quoi, de qui, dans quelle situation.

L’outil qui structure toute l’enquête porte un nom en sécurité informatique : le modèle de menace. Une protection ne se juge jamais dans l’absolu, mais par rapport à un adversaire précis, et l’éventail est large : un annonceur, l’entreprise elle-même, un voleur qui ramasse votre téléphone, votre propre État, un État étranger, un service de renseignement muni d’un mandat. Une fonction très efficace contre l’un peut être parfaitement inutile contre un autre, de sorte que répondre « protégé » ou « pas protégé » sans nommer l’adversaire ne veut rien dire.

Reste la posture la plus répandue, et la plus honnête des trois : « je n’ai rien à cacher ». Dans sa version forte, elle assume un arbitrage plutôt qu’une naïveté : j’accepte une part d’exposition parce que je fais confiance à l’État de droit, et verrouiller le moindre détail de ma vie ne vaut pas l’effort que cela coûterait. Prise ainsi, elle mérite mieux qu’un haussement d’épaules. Deux constats la déplacent sans la ridiculiser. Avoir une vie privée ne revient pas à cacher un délit : on ferme la porte des toilettes sans rien dissimuler de coupable, et l’intimité reste un besoin quand on n’a rien à se reprocher. Et le tri entre ce qui serait « à cacher » et ce qui serait anodin vous échappe : il revient à celui qui détient la donnée, dont le critère peut différer du vôtre et changer avec le temps.

Une dernière précaution, la symétrie, qui sera le fil rouge. Le fait qu’une entreprise ait menti ou cédé sur un point ne prouve pas que tout soit faux, et le fait que le chiffrement tienne mathématiquement ne prouve pas que vous soyez protégé. Une faille locale ne fait pas un théâtre général, des mathématiques solides ne font pas une sécurité globale. Le techno-cynique et l’optimiste publicitaire commettent la même erreur en sens inverse : ils remplacent l’examen au cas par cas par un verdict d’humeur.

Cette symétrie n’est pas un confort de neutralité, c’est une exigence de méthode. Elle interdit deux raccourcis opposés : conclure d’une faille révélée que tout l’édifice est un décor, et conclure d’une garantie technique réelle que l’utilisateur est à l’abri. Les deux mouvements consolent, l’un en autorisant le renoncement, l’autre en autorisant l’insouciance, et tous deux dispensent du seul travail qui éclaire vraiment, celui de regarder une fonction à la fois.

Disons aussi ce que ce texte ne fait pas. On examine les promesses grand public de confidentialité d’Apple et de Meta, fonction par fonction, et leur rapport à l’accès réel par l’entreprise et par l’État ; on ne propose pas un guide de sécurité, on n’entre pas dans le détail juridique pays par pays, et on laisse de côté les attaques ciblées par logiciel espion sauf pour ce qu’elles éclairent du raisonnement. Quant à Snowden, l’ancien sous-traitant de la NSA dont l’ombre plane sur le sujet, il faut le situer dans le temps : ses révélations de 2013 ont exposé une surveillance de masse, mais elles ont aussi en partie causé la généralisation du chiffrement qui a suivi, de sorte que le citer comme preuve que rien n’a bougé serait un anachronisme (Lyon 2014).

De qui cherche-t-on à se protéger : une même fonction donne des réponses opposées selon l’adversaire visé.

1. Apple n’est pas Meta

La première erreur consiste à traiter « les GAFAM » comme un bloc homogène. Apple et Meta ont des modèles économiques opposés : Apple vend principalement du matériel, et fait de la confidentialité un argument de vente, tandis que Meta vend de la publicité ciblée et tire l’essentiel de ses revenus de l’exploitation des données de ses utilisateurs (Apple ; Meta 2024; Acquisti et al. 2015). Cette différence n’est pas un détail de communication, c’est une différence d’incitation : pour l’un, protéger la donnée renforce le produit ; pour l’autre, la donnée est le produit. On n’attend pas la même chose d’un serrurier et d’un cambrioleur, même habiles tous les deux.

Cette incitation réelle ne fait pourtant pas d’Apple un ange, et le scepticisme doit rester symétrique. Apple développe sa propre régie publicitaire, prélève une commission sur l’App Store et demeure une entreprise commerciale dont l’intérêt va à la marge plutôt qu’à la pureté (Apple ; Meta 2024; Acquisti et al. 2015). La confidentialité est, pour elle, un avantage concurrentiel autant qu’une valeur, et il est plus sûr de raisonner sur les incitations que sur les intentions affichées.

Du côté de Meta, le fonctionnement est documenté plutôt que supposé : la collecte étendue de données comportementales pour cibler la publicité a fait l’objet d’actions des autorités de régulation, notamment de la FTC aux États-Unis (Englehardt et Narayanan 2016; Federal Trade Commission (FTC) 2023). Le mot d’ordre « la donnée est le produit » n’a rien d’une image : dans ce modèle, le service gratuit que vous utilisez n’est pas ce qui se vend, ce qui se vend est l’accès à votre attention, calibré par ce que l’entreprise sait de vous, et plus elle en sait, plus cet accès vaut cher (Englehardt et Narayanan 2016; Federal Trade Commission (FTC) 2023). La collecte étendue n’est donc pas un défaut du système, elle en est le moteur, ce qui explique pourquoi une promesse de confidentialité venant d’un tel acteur appelle, par construction, un examen plus serré que la même promesse venant d’un vendeur de matériel. Le modèle ne se cache pas, il se mesure. Mais il faut aussitôt compliquer le tableau, car un groupe n’est pas homogène fonction par fonction : Meta possède WhatsApp, dont le contenu des messages est chiffré de bout en bout, tout en exploitant largement les métadonnées et les données de Facebook et d’Instagram (WhatsApp 2023; Englehardt et Narayanan 2016). Le même propriétaire offre donc une protection forte du contenu sur un service et un modèle de surveillance publicitaire sur les autres, ce qui interdit de juger Meta d’un seul mot.

Cette grille des incitations vaut mieux qu’un procès d’intention, dans un sens comme dans l’autre. Elle n’exige pas de croire Apple vertueuse ni Meta malveillante, seulement de regarder ce que chaque modèle pousse à faire : une entreprise dont le produit est le matériel a intérêt à ce que la confidentialité soit crédible, une entreprise dont le produit est l’audience a intérêt à ce que la donnée circule (Apple ; Meta 2024; Acquisti et al. 2015). Quand une promesse va dans le sens de l’intérêt de celui qui la formule, elle mérite moins de méfiance que lorsqu’elle le contrarie, et c’est sous cet angle qu’il faut lire chacune des fonctions qui suivent, plutôt qu’à l’aune des intentions affichées.


2. Le chiffrement de bout en bout : ce que les maths garantissent

Au cœur de toute promesse de confidentialité se trouve un mot que l’on emploie souvent sans le peser : le chiffrement de bout en bout. Là où il est réellement actif, il signifie que seuls l’expéditeur et le destinataire peuvent lire le contenu, et que le fournisseur du service ne le peut pas, ce qui relève d’une propriété cryptographique vérifiable, et non d’une formule publicitaire (Abelson et al. 2015; Cohn-Gordon et al. 2017). C’est le point qui ruine l’affirmation paresseuse « de toute façon ils ont accès à tout » : pour le contenu correctement chiffré, ils ne l’ont pas, et c’est démontrable.

Le mot « vérifiable » mérite qu’on s’y arrête, car il fait toute la différence entre une croyance et un constat. Un protocole publié peut être étudié par n’importe quel cryptographe, ses hypothèses écrites noir sur blanc, ses faiblesses cherchées au grand jour ; une garantie qui repose au contraire sur la seule parole d’une entreprise, sans spécification ni code consultables, réclame une confiance que rien ne contrôle (Abelson et al. 2015; Cohn-Gordon et al. 2017). Le chiffrement de bout en bout du contenu appartient à la première catégorie, et c’est pour cette raison que « ils ne peuvent pas lire vos messages » peut être, pour cette fonction précise, une affirmation exacte au lieu d’un argument de vente.

Encore faut-il savoir où cette propriété est réellement en vigueur. Le chiffrement de bout en bout est effectivement actif sur plusieurs services grand public : iMessage entre appareils Apple, le contenu des messages WhatsApp, et la Protection avancée des données iCloud lorsqu’elle est activée (Apple 2024b; WhatsApp 2023; Cohn-Gordon et al. 2017). WhatsApp, en particulier, chiffre le contenu avec le protocole Signal, un protocole public dont les propriétés ont fait l’objet d’analyses cryptographiques formelles, ce qui place la garantie hors de la seule parole de l’entreprise (Cohn-Gordon et al. 2017; WhatsApp 2023). Cette nuance est décisive, car une garantie de confidentialité ne vaut que si elle peut être auditée indépendamment, par un protocole public, des analyses de cryptographes et des implémentations contrôlables ; c’est ce qui sépare une promesse marketing d’une propriété établie.

Le cas d’Apple mérite une précision technique. Quand la Protection avancée des données est activée, la majorité des catégories iCloud, dont les sauvegardes et les photos, passe en chiffrement de bout en bout, de sorte qu’Apple ne détient plus les clés et ne peut plus remettre le contenu en clair, y compris sur réquisition (Apple 2024a; Abelson et al. 2015). La promesse est ici aussi forte que les mathématiques le permettent. Le revers, on le verra, tient à ce que cette protection est en option.

Cette précision change la lecture d’un slogan courant. Quand Apple affirme ne pas pouvoir accéder à certaines données, l’affirmation est exacte pour les catégories réellement passées en chiffrement de bout en bout par la Protection avancée, et elle cesse de l’être pour celles qui restent en dehors (Apple 2024a; Abelson et al. 2015). La même entreprise peut donc dire vrai et incomplet dans la même phrase, selon qu’on parle d’une donnée couverte ou d’une donnée laissée hors du périmètre. Lire une promesse de confidentialité, c’est d’abord demander à quelles catégories précises elle s’applique, et non se contenter de son ampleur rassurante.

Tout cela impose de se méfier des étiquettes. Toutes les messageries réputées « sécurisées » ne se valent pas : Telegram, par exemple, ne chiffre pas de bout en bout par défaut, son chiffrement de bout en bout étant limité à un mode optionnel, ce qui montre que le label ne garantit pas la fonction (Telegram 2024; Cohn-Gordon et al. 2017). Une application peut ainsi se présenter comme protectrice de la vie privée tout en réservant le chiffrement de bout en bout à un mode séparé et peu visible que la plupart des gens n’emploient jamais, de sorte que l’utilisateur croit bénéficier d’une garantie qui, pour ses conversations ordinaires, ne s’applique pas (Telegram 2024; Cohn-Gordon et al. 2017). Le réflexe utile consiste à vérifier ce qui est réellement chiffré par défaut, plutôt qu’à se fier au registre rassurant du nom ou de la présentation. De même, le chiffrement d’iMessage ne vaut qu’entre appareils Apple : un message échangé avec un téléphone non Apple basculait classiquement vers le SMS, et depuis fin 2024 vers le RCS interplateforme, dont les échanges entre iPhone et Android ne sont pas chiffrés de bout en bout, de sorte que la protection dépend aussi de l’appareil du correspondant (Apple 2024b; Cohn-Gordon et al. 2017).

Pour donner sa forme la plus forte au camp de la « vraie protection », il faut citer les efforts récents. Apple présente pour ses traitements d’intelligence artificielle une architecture de calcul confidentiel dans le cloud, Private Cloud Compute, conçue pour qu’aucune donnée personnelle ne soit accessible même à Apple ; l’architecture est documentée et partiellement auditable, mais sa garantie repose sur des hypothèses de confiance qu’il faut nommer plutôt que gober (Apple 2024d; Abelson et al. 2015). La bonne attitude n’est ni de saluer ni de ricaner, mais de demander ce qui, dans la promesse, est vérifiable.


3. Les métadonnées : ce que le chiffrement ne couvre pas

Le chiffrement de bout en bout protège le contenu, et c’est déjà beaucoup. Mais il ne protège pas les métadonnées : qui communique avec qui, quand, depuis où, à quelle fréquence et pendant combien de temps restent largement visibles du fournisseur et des réseaux (Mayer et al. 2016; Abelson et al. 2015). C’est la nuance que le grand public rate le plus souvent, parce que l’attention se porte naturellement sur le message et non sur l’enveloppe.

Or l’enveloppe en dit énormément. Des travaux empiriques ont montré que les seules métadonnées téléphoniques permettent d’inférer des relations, des activités et des informations sensibles sur une personne, sans jamais accéder au contenu (Mayer et al. 2016; Lyon 2014). L’importance de ces données pour le renseignement a d’ailleurs été résumée par les intéressés eux-mêmes, l’ancien directeur de la NSA et de la CIA Michael Hayden ayant déclaré « we kill people based on metadata », nous tuons des gens sur la base de métadonnées (Hayden, Michael 2014; Mayer et al. 2016). La phrase est brutale, et elle dit la vérité d’un système où savoir qui parle à qui suffit souvent à agir.

Un exemple rend la chose concrète. Sans lire un seul message, constater qu’un numéro a appelé un centre d’oncologie, puis un laboratoire d’analyses, puis un groupe de soutien dessine déjà un diagnostic ; constater qu’il a appelé chaque nuit, tard, un numéro unique pendant des semaines dessine déjà une relation (Mayer et al. 2016; Lyon 2014). Le contenu n’ajoute presque rien à ce que la carte des appels a révélé, et c’est pourquoi protéger le seul contenu laisse intacte une part essentielle de l’intimité.

Il faut ajouter que même les messageries chiffrées de bout en bout conservent ou voient certaines métadonnées, numéro de téléphone, carnet de contacts, horodatage, adresses réseau, avec des différences notables selon les services quant à la quantité retenue (WhatsApp 2023; Mayer et al. 2016). Signal en marque la borne basse, avec son « sealed sender » qui masque l’expéditeur et l’absence de carnet de contacts conservé côté serveur, là où d’autres en gardent bien davantage (le présent examen s’en tient à Apple et Meta, l’écosystème Google/Android restant hors champ) (WhatsApp 2023; Mayer et al. 2016). Aucune n’efface entièrement la trace de la communication. Cela éclaire une confusion fréquente entre « contenu » et « données » : la promesse « nous ne lisons pas vos messages » peut être parfaitement vraie pour le contenu chiffré tout en laissant l’entreprise exploiter abondamment d’autres données, ce qui constitue une distinction à tenir, et non une contradiction.

Une dernière voie d’accès échappe au chiffrement par le bas, en s’attaquant à l’appareil lui-même. Le chiffrement de bout en bout protège les communications en transit, mais il ne protège pas contre un logiciel espion qui compromet directement le terminal, comme Pegasus, lequel lit le contenu après déchiffrement sur le téléphone (Citizen Lab 2021; Abelson et al. 2015). La protection dépend donc aussi de la sécurité de l’appareil, et l’adversaire change : on ne parle plus d’un fournisseur curieux, mais d’un attaquant capable d’entrer chez vous.

Ce déplacement d’adversaire est instructif, car il montre que la même communication peut être à la fois bien protégée et exposée. Contre un fournisseur qui voudrait lire vos messages en masse, le chiffrement de bout en bout est efficace ; contre un logiciel espion qui prend le contrôle de votre téléphone, il ne sert à rien, puisque le contenu y est lu une fois déchiffré, sur l’écran même où vous le lisez (Citizen Lab 2021; Abelson et al. 2015). Ce type d’attaque est coûteux et reste, en pratique, réservé à des cibles de valeur, ce qui le sort du modèle de menace de la plupart des gens tout en rappelant qu’aucune fonction ne protège contre tout.


4. Le piège du réglage par défaut

Une promesse vraie peut protéger très peu de monde si elle est désactivée par défaut, et c’est l’un des ressorts les plus sous-estimés du sujet. Les protections les plus fortes sont souvent en option, et leur adoption réelle reste faible, de sorte que la fonction existe mais ne couvre qu’une minorité d’utilisateurs en pratique (Acquisti et al., s. d.). Le réglage par défaut compte d’autant plus que la grande majorité des gens ne modifie jamais les options proposées, par habitude, par méconnaissance ou par confiance ; un défaut moins protecteur protège donc moins de monde, indépendamment de l’existence d’une option plus forte (Acquisti et al., s. d.).

L’exemple le plus parlant concerne les sauvegardes. Par défaut, les sauvegardes iCloud ne sont pas chiffrées de bout en bout : Apple détient alors les clés et peut remettre le contenu, y compris des messages sauvegardés, en réponse à une réquisition légale valide (Apple 2024b, 2024c; Abelson et al. 2015). La conséquence est concrète et souvent ignorée : un message iMessage chiffré de bout en bout peut redevenir accessible s’il est inclus dans une sauvegarde iCloud non chiffrée de bout en bout, dont Apple possède la clé (Apple 2024b; Abelson et al. 2015). La porte fermée à clé sur la messagerie reste ouverte par la fenêtre de la sauvegarde.

Ce pouvoir du réglage par défaut n’a rien d’anecdotique, il est l’un des leviers les mieux établis du design : ce qui est proposé d’emblée devient, pour la quasi-totalité des gens, ce qui restera (Acquisti et al., s. d.). Une entreprise qui laisse sa protection la plus forte en option, derrière plusieurs menus et un avertissement, peut donc afficher une promesse exacte tout en sachant que la plupart de ses utilisateurs ne l’activeront jamais. La sincérité d’une fonction se juge aussi à la place qu’on lui réserve dans les réglages, et une protection enterrée dans un sous-menu envoie un message différent de la même protection activée d’office.

Le même piège vaut au-delà d’Apple. Longtemps, les sauvegardes de conversations WhatsApp vers un cloud tiers n’étaient pas chiffrées de bout en bout, et leur chiffrement est devenu une option à activer, de sorte que le maillon faible est souvent la sauvegarde plutôt que la messagerie elle-même (WhatsApp 2023; Abelson et al. 2015). La leçon générale tient en une phrase : pour juger une protection, il faut regarder le réglage par défaut autant que la fonction annoncée.


5. La couche étatique : Snowden, et ce qui a changé depuis

Reste l’adversaire que la cryptographie ne suffit pas à écarter : l’État. C’est ici que les révélations de Snowden gardent toute leur portée. Le programme PRISM, révélé en 2013, permettait au renseignement américain d’obtenir des données auprès de grands fournisseurs sous contrainte légale, en s’appuyant sur l’article 702 du FISA, qui autorise la collecte ciblant des personnes non américaines à l’étranger (Privacy and Civil Liberties Oversight Board (PCLOB) 2014; Lyon 2014). Loin d’être un vestige, ce cadre reste actif : l’article 702 a été réautorisé par le Congrès américain, notamment en 2024 (Congres des Etats-Unis 2024; Lyon 2014).

L’arsenal légal s’est même élargi. Le CLOUD Act de 2018 permet aux autorités américaines d’exiger d’un fournisseur des données qu’il contrôle même lorsqu’elles sont stockées hors des États-Unis, ce qui étend la portée des réquisitions au-delà des frontières (Congres des Etats-Unis 2018; Lyon 2014). À cela s’ajoutent les lettres de sécurité nationale, qui permettent au FBI d’exiger certaines données d’abonnés sans mandat judiciaire préalable, souvent assorties d’une interdiction d’en parler qui limite la transparence des entreprises (Electronic Frontier Foundation 2023; Lyon 2014). Le citoyen ne voit qu’une partie de ce qui se demande en son nom.

C’est ici que la couche technique et la couche légale se rejoignent. Le chiffrement de bout en bout limite ce qui peut être contraint, car un fournisseur ne peut pas remettre un contenu qu’il ne peut pas lire, et c’est précisément pourquoi les États cherchent à l’affaiblir. Sous le terme « going dark », plusieurs États poussent depuis des années à introduire un accès exceptionnel ou des portes dérobées, au nom de la sécurité publique (Abelson et al. 2015). Or un large consensus de cryptographes conclut qu’il n’existe pas de porte dérobée sûre réservée aux autorités : tout accès exceptionnel introduit une vulnérabilité exploitable par d’autres, ce qui fragilise tout le monde (Abelson et al. 2015, 2024).

Cet argument n’est pas une posture militante, c’est une conséquence technique. Une porte dérobée est une faiblesse délibérément introduite, et une faiblesse ne choisit pas qui l’emprunte : la clé prévue pour les autorités peut être volée, copiée, ou exigée demain par un autre gouvernement, de sorte qu’affaiblir le chiffrement pour atteindre les criminels l’affaiblit du même coup pour les journalistes, les dissidents et les citoyens ordinaires (Abelson et al. 2015, 2024). Le vrai choix oppose donc un chiffrement solide pour tous à un chiffrement fragile pour tous, et il ne se ramène pas à un arbitrage commode entre la sécurité et la vie privée.

L’actualité récente illustre cette bataille mieux qu’un discours. En 2025, le Royaume-Uni a notifié à Apple, par un ordre secret au titre de l’Investigatory Powers Act, une exigence d’accès aux données iCloud chiffrées ; plutôt que d’insérer une porte dérobée, Apple a retiré la Protection avancée des données pour ses utilisateurs britanniques, avant que l’ordre soit abandonné à l’été 2025, le Royaume-Uni ayant reculé sous la pression diplomatique américaine (Electronic Frontier Foundation ; Apple 2025; Abelson et al. 2015). Du côté européen, le projet de règlement de détection des contenus pédocriminels, dit « chat control », a longtemps prévu une analyse côté client des messages ; sous la pression d’experts et de plusieurs États, l’obligation de scanner les messages chiffrés a été retirée des versions récentes du texte, le débat se poursuivant sur d’autres points comme la vérification d’âge (Electronic Frontier Foundation 2026; Abelson et al. 2024). Apple elle-même avait annoncé en 2021 un dispositif d’analyse côté client des photos, avant de l’abandonner face aux critiques (Apple 2022; Abelson et al. 2024).

Ces épisodes tournent tous autour de la même technique et du même danger. L’analyse côté client, qui consiste à scanner le contenu sur l’appareil avant son chiffrement, contourne la promesse du chiffrement de bout en bout, et des experts en sécurité ont montré qu’elle crée un mécanisme de surveillance généralisable et détournable (Abelson et al. 2024, 2015). Il faut toutefois garder une distinction de précision : l’accès légal ciblé, où une entreprise répond à une réquisition valide pour des données qu’elle peut lire, n’est pas la même chose que la surveillance de masse, et confondre l’un avec l’autre brouille le débat.

Deux faits achèvent de situer le réel. Une part majeure de l’exposition des données échappe d’ailleurs au débat sur le chiffrement : des courtiers en données agrègent et revendent des données de localisation et de comportement collectées par des applications tierces, un canal que ni le chiffrement ni la Protection avancée ne couvrent (Englehardt et Narayanan 2016). Et du côté des entreprises, leurs propres rapports de transparence montrent qu’elles répondent régulièrement à des dizaines de milliers de demandes légales par an pour les données qu’elles peuvent fournir, ce qui confirme que la promesse de confidentialité ne supprime pas l’accès légal aux données non chiffrées de bout en bout (Apple 2024c; Meta 2024; Lyon 2014).

Ces faits referment la boucle entre la technique et le droit. Tant qu’une donnée reste lisible par le fournisseur, elle reste atteignable par une demande légale, et c’est exactement ce que le chiffrement de bout en bout soustrait à la contrainte. La couche étatique n’annule donc pas la couche cryptographique, elle en épouse les contours : empêchée là où le chiffrement protège, présente partout ailleurs. Comprendre où passe cette ligne vaut mieux que de la croire soit absente, soit infranchissable, car c’est elle qui décide, fonction par fonction, de ce qu’un État peut obtenir sans votre consentement.


6. La transparence du pistage : une protection réelle et intéressée

Pour rester équitable, il faut reconnaître les protections qui marchent, et l’une des plus visibles vient d’Apple. La fonction App Tracking Transparency, qui exige le consentement explicite au suivi inter-applications, a réduit le pistage publicitaire et notablement diminué les revenus publicitaires de Meta, ce qui montre qu’elle a un effet réel et non cosmétique (Kollnig et al. 2022). Une promesse de confidentialité peut donc avoir des conséquences mesurables, et il serait malhonnête de les nier.

Le scepticisme doit pourtant rester symétrique. En restreignant le pistage tiers tout en développant sa propre régie publicitaire, Apple sert aussi un intérêt commercial, et sa fonction de protection n’est pas un pur acte désintéressé (Kollnig et al. 2022). La même mesure protège l’utilisateur et avantage le fournisseur, ce qui est possible sans contradiction. Il faut enfin noter que la protection est partielle : la restriction des identifiants n’a pas fait disparaître le pistage, l’industrie publicitaire s’étant en partie reportée sur l’empreinte d’appareil et des mesures agrégées, de sorte que le suivi s’adapte plutôt qu’il ne cesse (Kollnig et al. 2022; Englehardt et Narayanan 2016).

La leçon de cet épisode dépasse la publicité. Une même fonction peut servir l’utilisateur et léser un concurrent dans le même geste, sans que l’un disqualifie l’autre, et le scepticisme bien réglé consiste à tenir les deux ensemble plutôt qu’à choisir le récit le plus commode (Kollnig et al. 2022). Apple a rendu un vrai service à ses utilisateurs et un mauvais service à Meta d’un seul mouvement ; reconnaître le premier n’oblige pas à nier le second, et soupçonner le second n’oblige pas à effacer le premier. C’est l’application, au registre commercial, de la symétrie qui guide tout le texte.


7. Ce que cela établit, ce que cela n’établit pas

On peut maintenant rassembler la carte. La même fonction donne des réponses opposées selon l’adversaire : le chiffrement de bout en bout d’iMessage protège très bien contre un voleur de téléphone ou un annonceur, mais il ne protège pas contre une réquisition portant sur une sauvegarde iCloud non chiffrée, ni contre un logiciel espion installé sur l’appareil. C’est l’illustration centrale du modèle de menace : sans préciser l’adversaire, le mot « protégé » est vide.

La réponse honnête est donc une carte à trois entrées : par fonction, c’est-à-dire ce qui est réellement chiffré de bout en bout ; par réglage, c’est-à-dire ce qui est activé par défaut ou laissé en option ; et par adversaire, c’est-à-dire de qui l’on cherche à se protéger. Appliquée aux deux récits qui s’affrontent, la symétrie donne un verdict partagé : le chiffrement de bout en bout réel n’a rien du marketing, donc « tout est du bullshit » est faux ; et pourtant les métadonnées, les défauts et l’accès légal subsistent, donc « vous êtes protégés » l’est tout autant. Chacun des deux camps détient une moitié de la vérité, et se trompe en la prenant pour le tout.

Cette carte n’est pas une esquive prudente, c’est la forme exacte de la réponse. Pour une fonction donnée, on peut dire ce qui est chiffré et ce qui ne l’est pas ; pour un réglage, on peut dire s’il protège par défaut ou seulement sur démarche volontaire ; pour un adversaire, on peut dire si la fonction tient ou cède. Une fois ces trois cases remplies, la question initiale reçoit une réponse précise, souvent rassurante sur un point et inquiétante sur un autre, ce qui vaut mieux qu’un oui ou un non global qui serait faux dans la moitié des cas.

Cela ne disculpe pas pour autant le marketing. Une part des promesses de confidentialité relève bien de la survente : des formules larges du type « votre vie privée est notre priorité » laissent croire à une protection générale qui ne vaut que pour certaines fonctions et certains adversaires, et il est légitime de les distinguer des garanties techniques vérifiables. Le bon réflexe consiste moins à croire ou à rejeter ces slogans qu’à leur demander de quelle fonction et de quel adversaire ils parlent.

La carte à trois entrées : pour chaque fonction, ce qui est chiffré, le réglage par défaut, et l’adversaire contre lequel elle protège vraiment.

8. Conclusion : déplacer la lecture

De tout cela se dégage une conduite simple, et tenable. Avant de croire ou de rejeter une promesse de confidentialité, demandez-vous de qui vous voulez vous protéger, sur quelle fonction précise, et avec quel réglage ; activez les options fortes, chiffrement des sauvegardes, Protection avancée, quand l’adversaire le justifie, et n’attendez pas du chiffrement qu’il couvre ce qui lui échappe. C’est moins reposant qu’un slogan, et nettement plus utile.

Concrètement, cela tient en quelques gestes proportionnés à l’adversaire. Si vous redoutez surtout un vol de téléphone ou un annonceur, le chiffrement par défaut et un bon code suffisent largement ; si vous craignez une réquisition ou un acteur plus déterminé, activer la Protection avancée et le chiffrement des sauvegardes change réellement la donne ; et dans tous les cas, ne demandez pas au chiffrement de protéger ce qu’il ne couvre pas, comme les métadonnées ou un appareil compromis.

Le déplacement tient en une phrase. La bonne question cesse d’être « est-ce que c’est du bullshit » pour devenir « de qui me protège cette fonction précise, avec ce réglage ». La réponse est une carte plutôt qu’un verdict, elle est moins satisfaisante qu’un cri du cœur dans un sens ou dans l’autre, et c’est la seule échelle à laquelle elle est vraie.

Ce déplacement a un coût et une récompense. Le coût, c’est d’abandonner le réconfort d’un jugement tranché, le « tous pourris » comme le « tout va bien », au profit d’une réponse qui change d’une fonction à l’autre. La récompense, c’est de cesser d’être ballotté entre la panique et la naïveté, et de pouvoir enfin agir : choisir ses outils, activer les bons réglages, accorder sa confiance à la mesure précise de ce qui est vérifiable, et la retirer là où elle n’est pas méritée. Savoir de quoi l’on est protégé, et de quoi l’on ne l’est pas, est déjà une forme de lucidité, et la lucidité vaut mieux, ici, que la tranquillité qu’elle remplace.

Bibliographie

Abelson, Harold, Ross Anderson, Steven M Bellovin, et al. 2024. « Bugs in our pockets: the risks of client-side scanning ». Journal of Cybersecurity 10. https://doi.org/10.1093/cybsec/tyad020.
Abelson, Harold, Ross Anderson, Steven M. Bellovin, et al. 2015. « Keys under doormats: mandating insecurity by requiring government access to all data and communications ». Journal of Cybersecurity, tyv009. https://doi.org/10.1093/cybsec/tyv009.
Acquisti, Alessandro, Laura Brandimarte, et George Loewenstein. s. d. « Privacy and Human Behavior in the Information Age* ». In The Cambridge Handbook of Consumer Privacy. https://doi.org/10.1017/9781316831960.010.
Acquisti, Alessandro, Curtis R. Taylor, et Liad Wagman. 2015. « The Economics of Privacy ». SSRN Electronic Journal, publication en ligne anticipée. https://doi.org/10.2139/ssrn.2580411.
Apple. 2022. Annonce (2021) puis abandon du dispositif d’analyse cote client des photos (CSAM detection).
Apple. 2024a. Advanced Data Protection for iCloud (documentation du chiffrement de bout en bout iCloud).
Apple. 2024b. Apple Platform Security (documentation : iMessage, chiffrement iCloud, sauvegardes).
Apple. 2024c. Apple Transparency Report: government and law enforcement requests.
Apple. 2024d. Private Cloud Compute: a new frontier for AI privacy in the cloud.
Apple ; Meta. 2024. Rapports annuels (structure des revenus : materiel vs publicite).
Citizen Lab. 2021. Rapports sur le logiciel espion Pegasus (compromission de terminaux, lecture post-dechiffrement).
Cohn-Gordon, Katriel, Cas Cremers, Benjamin Dowling, Luke Garratt, et Douglas Stebila. 2017. « A Formal Security Analysis of the Signal Messaging Protocol ». 2017 IEEE European Symposium on Security and Privacy (EuroS&P), 451‑66. https://doi.org/10.1109/eurosp.2017.27.
Congres des Etats-Unis. 2018. Clarifying Lawful Overseas Use of Data Act (CLOUD Act).
Congres des Etats-Unis. 2024. Reauthorization of Section 702 of the Foreign Intelligence Surveillance Act (FISA).
Electronic Frontier Foundation. 2023. National Security Letters: FBI demands for subscriber data under gag orders.
Electronic Frontier Foundation. 2026. The EU CSA Regulation (’Chat Control’) and client-side scanning of encrypted messages (2025-2026).
Electronic Frontier Foundation ; Apple. 2025. UK Investigatory Powers Act order and Apple’s withdrawal of Advanced Data Protection in the UK (2025).
Englehardt, Steven, et Arvind Narayanan. 2016. « Online Tracking ». Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security, 1388‑401. https://doi.org/10.1145/2976749.2978313.
Federal Trade Commission (FTC). 2023. Actions et plainte de la FTC contre Facebook/Meta concernant les pratiques de donnees.
Hayden, Michael. 2014. Declaration ’We kill people based on metadata’ (debat, Johns Hopkins University).
Kollnig, Konrad, Anastasia Shuba, Max Van Kleek, Reuben Binns, et Nigel Shadbolt. 2022. « Goodbye Tracking? Impact of iOS App Tracking Transparency and Privacy Labels ». 2022 ACM Conference on Fairness Accountability and Transparency, 508‑20. https://doi.org/10.1145/3531146.3533116.
Lyon, David. 2014. « Surveillance, Snowden, and Big Data: Capacities, consequences, critique ». Big Data & Society 1. https://doi.org/10.1177/2053951714541861.
Mayer, Jonathan, Patrick Mutchler, et John C. Mitchell. 2016. « Evaluating the privacy properties of telephone metadata ». Proceedings of the National Academy of Sciences 113: 5536‑41. https://doi.org/10.1073/pnas.1508081113.
Meta. 2024. Meta Transparency Center: government requests for user information.
Privacy and Civil Liberties Oversight Board (PCLOB). 2014. Report on the Surveillance Program Operated Pursuant to Section 702 of FISA (PRISM).
Telegram. 2024. Telegram FAQ: Secret Chats and end-to-end encryption (non active par defaut).
WhatsApp. 2023. WhatsApp Encryption Overview (livre blanc, protocole Signal).