Il y a des signes qui montrent que nous vivons dans une nouvelle ère, inaugurée en juin par les révélations d’Edward Snowden : quelques jours à peine après qu’Apple eut dévoilé le principal gadget qui distingue le nouvel iPhone haut-de-gamme de ses prédecesseurs, le « touch ID », qui permet de déverrouiller son smartphone à l’aide de son empreinte digitale, un sénateur américain a écrit au patron d’Apple pour obtenir des éclaircissements sur les mécanismes entourant ce dispositif. Il y a quelques mois, une telle demande émanant d’un parlementaire US aurait été perçue comme un coup de poignard dans le dos d’un des fleurons de l’industrie américaine. Aujourd’hui, ce faisant, Al Franken, élu démocrate du Minnesota, joue sur du velours : il sait que les Américains ont été sérieusement ébranlés en découvrant l’ampleur de la surveillance à laquelle ils étaient et sont sans doute encore soumis de la part d’agences gouvernementales, la NSA en tête.
Al Franken, président du Sous-comité sur les questions légales liées à la sphère privée et aux technologies, écrit donc à Tim Cook. Il commence par vanter le « leader innovant » qu’est Apple en matière de technologie mobile, précisant qu’il possède lui-même un iPhone. Très bien, mais où seront stockées ces fameuses empreintes digitales que le nouveau modèle utilisera pour reconnaître son propriétaire, poursuit-il ? Et sous quel format ? Un tiers pourra-t-il y avoir accès, d’une façon ou une autre ? Les données relatives aux empreintes seront-elles encryptées (Al Franken se réfère à la découverte, en 2011, que des données de géolocalisation non encryptées étaient stockées sur l’ordinateur servant à conserver une sauvegarde de l’iPhone) ? Quelles seront les interactions entre le téléphone lors d’achats effectués sur iTunes, iBooks ou l’App Store, et des résumés digitaux des empreintes seront-ils échangés à cette occasion ? Des tiers auront-ils accès à ces données ? Apple peut-il garantir que personne n’aura accès à ces données ni à des outils permettant de les extraire ?
Enfin, Franken demande comment Apple catégorise ces données biométriques au plan légal : comme du « contenu » de communication, comme des enregistrements relatifs à des clients ou à des abonnés, ou comme un « numéro ou identité d’abonné », sachant que les garanties qui découlent de ces différents statuts sont bien différents aux termes de la législation américaine en vigueur. Franken souhaite savoir en particulier si le FBI peut forcer un citoyen à déverrouiller son iPhone bloqué à l’aide d’une empreinte, sachant qu’une telle empreinte est un objet « tangible » qu’un suspect peut être obligé de révéler aux termes du Patriot Act, contrairement à un mot de passe qui est considéré comme un « savoir » et protégé par le Cinquième amendement.
À vrai dire, Apple avait répondu par avance aux questions du sénateur, précisant que les données relatives aux empreintes digitales seraient encryptées et stockées dans un domaine à part de la mémoire du téléphone, et jamais sur un serveur central, et que les données relatives aux empreintes ne voyageront pas entre ses différents serveurs. Mais Franken se dit sans doute qu’au vu de l’histoire d’Apple, de ses concurrents et de l’invraisemblable boulimie de données privées de la NSA, mieux vaut prévenir que guérir et obtenir des précisions dans le cadre d’une démarche officielle. Et d’expliquer les différences fondamentales qu’il voit entre un mot de passe et une empreinte digitale : « Les mots de passe sont secrets et dynamiques ; les empreintes digitales sont publiques et permanentes. Si vous ne révélez votre mot de passe à personne, personne ne le connaîtra. Si quelqu’un craque votre mot de passe, vous pouvez en changer – autant de fois que vous voulez. Vous ne pouvez pas changer vos empreintes digitales. Vous n’en avez que dix. Et vous les laissez sur tout ce que vous touchez : ce n’est pas certainement pas un secret. En plus, un mot de passe n’identifie pas son propriétaire de manière univoque ; une empreinte digitale oui. Si des hackers s’emparent de l’empreinte de votre pouce, ils peuvent s’en servir pour vous identifier et vous faire passer pour vous pour le restant de votre vie ».