Apple va-t-il fournir aux gouvernements des sauvegardes de clés privées Bitcoin via une porte dérobée iCloud de 80 millions de dollars ?

Le Royaume-Uni envisage des mesures qui pourraient obliger Apple à fournir l'accès à certaines données iCloud, soulevant une question précise pour les utilisateurs crypto qui conservent leurs portefeuilles sur iPhone et Mac.

Si les sauvegardes d'appareils et les espaces de stockage de fichiers courants perdent leur protection de bout en bout au Royaume-Uni, les phrases de récupération et les matériaux de clés privées peuvent plus facilement passer de l'appareil de l'utilisateur vers des emplacements où une procédure légale, ou une Technical Capability Notice, peut les atteindre.

Les autorités britanniques ont émis une nouvelle Technical Capability Notice à Apple, axée sur l'accès à iCloud pour les comptes britanniques. Apple n'a pas commenté cet ordre.

Le Home Office n'a pas commenté les notifications individuelles, qui sont secrètes par conception. En février, Apple a retiré l'Advanced Data Protection pour les utilisateurs britanniques, un paramètre qui étendait autrement le chiffrement de bout en bout à des catégories telles que les sauvegardes d'appareils, iCloud Drive, Photos et Notes.

iCloud Keychain reste chiffré de bout en bout par défaut, et Apple affirme n'avoir jamais créé de porte dérobée pour ses produits.

Cette distinction est importante car les portefeuilles crypto ne résident pas uniquement dans iCloud Keychain.

Les utilisateurs prennent fréquemment des captures d'écran de phrases de récupération et les stockent dans Photos, notent des mots de récupération dans Notes, ou laissent les données de l'application portefeuille dans une sauvegarde d'appareil. Lorsque l'Advanced Data Protection n'est pas disponible, ces catégories reviennent à des clés détenues par Apple, qui peuvent être déchiffrées après authentification ou sous ordre légal.

Le changement au Royaume-Uni n'affecte pas iCloud Keychain ; cependant, le contenu en dehors de Keychain l'est. Des cas historiques montrent de réelles pertes lorsque des coffres de portefeuilles écrits dans des sauvegardes iCloud ont été hameçonnés et vidés, y compris des incidents liés aux avertissements de MetaMask.

Apple détaille le fonctionnement de la protection des sauvegardes dans son aperçu de la sécurité iCloud Backup et décrit les protections de Keychain. La page plus large de l'Advanced Data Protection indique quelles catégories bénéficient du chiffrement de bout en bout lorsque la fonctionnalité est disponible.

Le calendrier politique crée une fenêtre à court terme où le risque pour les portefeuilles évolue sans changer les protocoles Bitcoin ou Ethereum. Les codes de pratique de l'Online Safety Act permettent à Ofcom de proposer et d'accréditer des mesures technologiques, y compris des approches de scan côté client, et de superviser la conformité des services.

Les consultations durant 2025 ont couvert des mesures de sécurité supplémentaires et des notifications technologiques potentielles. Bien que les détails de toute nouvelle obligation britannique restent confidentiels jusqu'à leur mise en œuvre, l'orientation réglementaire est suffisamment claire pour que les utilisateurs et les développeurs mettent à jour leurs modèles de menace dès maintenant.

Une façon simple d'estimer l'exposition consiste à estimer le nombre d'utilisateurs d'iPhone britanniques dont le contenu dépend des clés détenues par Apple. En utilisant l'estimation de la population mi-2024 de l'Office for National Statistics d'environ 69,3 millions, une pénétration des smartphones de 90 à 95 % selon DataReportal et Ofcom, une part iOS de 45 à 55 %, et en supposant que 60 à 75 % des utilisateurs d'iPhone activent le stockage ou la sauvegarde iCloud, le nombre d'utilisateurs concernés se situe dans les dizaines de millions.

Les fourchettes ci-dessous sont illustratives et doivent être présentées comme des fourchettes, non comme une prévision ponctuelle.

Input Low High Source

Population du Royaume-Uni (mi-2024)	69,3m	69,3m	Office for National Statistics
Pénétration des smartphones	90%	95%	DataReportal
Part d'iOS parmi les smartphones	45%	55%	AP News market context
Part avec sauvegarde/stockage iCloud activé	60%	75%	MacRumors
Utilisateurs d'iPhone impliqués	~28m à ~36m
Utilisateurs dépendant de la sauvegarde/stockage iCloud	~17m à ~27m

Ces utilisateurs ne sont pas tous exposés à une perte de portefeuille ; cependant, ce groupe donne une idée de l'ampleur du risque si les clés détenues par Apple et un accès réservé au Royaume-Uni coexistent.

Un test de résistance aide à ancrer la discussion.

Si 1 à 3 points de base de ce groupe étaient compromis sur un an via un mélange d'abus d'accès légal, d'ingénierie sociale après divulgation de données, ou d'attaques ciblées de récupération de compte réussies parce que plus de contenu est déchiffrable, le nombre se situerait entre environ 1 700 et 8 000 utilisateurs.

Avec des soldes médians de hot-wallet dans une fourchette conservatrice de 2 000 $ à 10 000 $, les pertes directes pourraient totaliser de 3 millions à 80 millions de dollars. Ce calcul ne suggère pas l'inévitabilité, mais il clarifie l'ordre de grandeur et comment les incitations changent si les sauvegardes et les espaces de stockage courants ne sont pas chiffrés de bout en bout.

Le canal par lequel les clés fuient est aussi important que la question de politique.

iCloud Keychain reste chiffré de bout en bout, donc les mots de passe et passkeys qui y sont stockés ne constituent pas un point faible. Les points faibles apparaissent là où les utilisateurs privilégient la commodité à la compartimentation. Photos et Notes, sans Advanced Data Protection, sont déchiffrables par Apple.

Les données d'application laissées dans iCloud Backup sont déchiffrables par Apple. Les fonctionnalités de sauvegarde cloud optionnelles intégrées à certains portefeuilles, y compris la documentation de Coinbase Wallet qui décrit une sauvegarde de phrase de récupération sur inscription, dépendent de la robustesse de la phrase de passe de l'utilisateur et de la mise en œuvre du fournisseur, et héritent de tout changement dans la surface de menace cloud environnante.

Selon la documentation d'Apple, les secrets devraient résider dans le Secure Enclave avec un contrôle d'accès approprié, et les développeurs peuvent marquer les fichiers pour les exclure de la sauvegarde iCloud.

Trois scénarios aident à clarifier comment les 12 à 18 prochains mois pourraient se dérouler.

Premièrement, une exception réservée au Royaume-Uni persiste, Apple conservant les clés détenues par Apple pour les sauvegardes et les espaces de stockage courants et ajustant ses processus internes pour répondre à toute notification renouvelée. Le risque pour les portefeuilles des utilisateurs particuliers reste élevé là où les seeds croisent ces espaces de stockage.

Deuxièmement, l'Advanced Data Protection revient au Royaume-Uni, soit après des revirements juridiques ou politiques, et le risque revient au niveau mondial de base du phishing, du vol d'appareil et des infostealers courants.

Troisièmement, le scan côté client accrédité par Ofcom s'étend sur l'appareil avant le chiffrement, présenté comme une mesure évitant le dépôt formel de clés. Ce débat reflète la discussion en cours de l'Union européenne sur le scan des conversations.

Cette voie augmente néanmoins la surface d'attaque puisque de nouveaux chemins de code de scan et des API de révision deviennent des cibles, et elle normalise l'inspection du contenu de l'appareil qui restait auparavant opaque pour le service.

Les développeurs disposent d'un ensemble restreint de contrôles pour réduire l'exposition, quelle que soit la politique.

Les mesures pratiques consistent à garder le matériel de seed hors de tout espace de stockage synchronisé sur le cloud, à marquer les secrets et coffres avec des attributs "do-not-backup", à s'appuyer sur le Secure Enclave pour la protection des clés, et à exiger des paramètres de dérivation de clé coûteux pour toute fonctionnalité de sauvegarde cloud optionnelle afin que les phrases de passe faibles soient rejetées.

Les utilisateurs ont une voie parallèle : déplacer le stockage des seeds hors de l'appareil et du cloud, éviter les captures d'écran et les notes pour les mots de récupération, et renforcer la récupération de l'identifiant Apple et l'authentification à deux facteurs puisque la prise de contrôle de compte devient plus précieuse lorsque plus de données cloud sont déchiffrables.

Selon les recommandations de Coinbase Wallet, la sauvegarde cloud est optionnelle et chiffrée avec un mot de passe choisi par l'utilisateur, ce qui fait reposer la responsabilité sur la qualité du mot de passe si l'utilisateur choisit cette fonctionnalité.

Le contexte plus large du marché aide à expliquer pourquoi un changement de politique au Royaume-Uni résonne au-delà du Royaume-Uni.

Apple et Google contrôlent la pile mobile pour presque tous les utilisateurs, donc une exception juridictionnelle appliquée à une grande plateforme crée à la fois un chemin de code et un précédent.

L'Assistance and Access Act de l'Australie et la Section 69 de l'Inde montrent comment les ordres ciblés prennent de l'ampleur avec le temps. Le débat de l'Union européenne sur le scan côté client, souvent qualifié de contrôle des conversations, montre la difficulté de concilier les objectifs de sécurité avec le chiffrement de bout en bout.

Même si une notification britannique ne lie que les comptes britanniques, toute ingénierie visant à contourner le chiffrement en un endroit augmente la pression pour reproduire le résultat ailleurs et invite les adversaires à étudier le nouveau chemin.

La position publique d'Apple reste qu'elle ne crée pas de portes dérobées, et sa documentation liste les catégories de données qui restent chiffrées de bout en bout.

Selon les déclarations d'Apple, iMessage et FaceTime continuent d'utiliser le chiffrement de bout en bout, et iCloud Keychain continue de protéger les secrets au repos.

La question pour les utilisateurs crypto n'est pas de savoir si Apple désactivera le chiffrement de bout en bout partout, mais si les catégories de stockage couramment utilisées qui se trouvent en dehors de Keychain, et les procédures légales qui les régissent, créent une voie pratique vers la compromission du portefeuille si les seeds ou le matériel de clé touchent un jour ces emplacements.

Les faits à court terme sont simples.

Le Royaume-Uni a renouvelé un ordre secret visant à accéder aux données iCloud des utilisateurs britanniques. Apple a retiré l'Advanced Data Protection pour les nouveaux utilisateurs britanniques en février.

Apple a détaillé quelles catégories restent chiffrées de bout en bout dans son avis de support britannique et la documentation de l'Advanced Data Protection.

Ofcom affine encore la manière dont l'Online Safety Act sera appliqué et comment les mesures technologiques proactives seront accréditées et appliquées.

Ces faits suffisent à construire des modèles de menace clairs et à quantifier les fourchettes d'exposition.

La suite dépendra de savoir si le Royaume-Uni impose des méthodes contournant le chiffrement ou rétablit la couverture de bout en bout pour les sauvegardes, Photos, Notes et autres espaces de stockage à fort impact.

L’article Will Apple give governments Bitcoin private key backups via $80M iCloud backdoor? est apparu en premier sur CryptoSlate.