“Nous identifions et réparons la grande majorité des vulnérabilités potentielles avant même que nos produits soient en fonction. Aucune société ne fait mieux”. Voilà comment Apple qualifie son travail sur la sécurité des iPhone.
Les ingénieurs en sécurité d’Apple manqueraient-ils d’humilité ? On aurait tendance à le croire en découvrant les nouvelles révélations du projet Pegasus.
Selon l’enquête initiée par Forbidden Stories et menée avec 16 partenaires, l’iPhone ne serait pas aussi sécurisé que ne le fait croire Apple.
Le 11 juin dernier, Claude Mangin, épouse d’un activiste emprisonné au Maroc, reçoit un message sur iMessage, le service de messagerie de l’iPhone. Aucune sonnerie, rien sur l’écran. Rien qui ne puisse indiquer la présence de ce fameux message.
Et pourtant, ce dernier a permis à la société israélienne NSO d’infiltrer son iPhone grâce au logiciel Pegasus révèle une expertise réalisée par le Security Lab d’Amnesty International. Dès lors, NSO avait accès aux messages, emails, publications, photos, vidéos, déplacements de l’utilisatrice, bref tout le contenu de l’iPhone de Claude Mangin. Tout cela sans aucune manipulation du propriétaire de l’appareil. Une procédure “zéro clic” dit-on dans le jargon.
Pour pouvoir infiltrer cet iPhone, Pegasus a exploité des failles dans certaines applications d’Apple, plus particulièrement Safari, Apple Music, Photos ou encore iMessage. Un comble pour une entreprise vantant le haut niveau de sécurité de ses téléphones.
Le ver est dans la Pomme
On pouvait supposer que les déclarations au sujet de la sécurité semblaient un peu trop “bisounoursiennes”. Par le passé, l’entreprise a déjà essuyé quelques revers.
L’affaire la plus médiatisée est sans aucun doute celle du massacre de San Bernardino. A l’époque, Apple refusait de donner accès au FBI à un iPhone 5 utilisé par l’un des auteurs du massacre. L’entreprise arguait alors que la sécurité des données personnelles était sa priorité numéro 1. Le FBI avait alors fini par déverrouiller l’iPhone 5 en question en s’offrant les services d’une société australienne spécialisée en cybersécurité. Pas si sécurisé l’iPhone ?
Visiblement pas tant que cela. Dans le cadre de son Project Zero (projet ayant pour but d’identifier les vulnérabilités de tous les objets connectés), Google avait déjà tiré la sonnette d’alarme sur le cas iMessage.
Selon plusieurs autres experts en sécurité, le service de messagerie d’Apple pose un vrai problème pour les données des utilisateurs. Le service de messagerie gagne en fonctionnalités chaque année, or chaque ligne de code peut représenter une faille dans laquelle les hackers peuvent s’engouffrer.
Par ailleurs, le rythme auquel sont déployées les mises à jour empêche les experts en sécurité d’effectuer leur travail en profondeur. Et Apple ne figure pas parmi les entreprises ayant le plus recours à des hackers éthiques pour identifier les failles de sécurité, bien au contraire.
Comme l’indique France Culture, le responsable de la sécurité d’Apple Ivan Krstic a commencé à avoir recours à cette méthode en 2016 seulement. Puis le programme a été interrompu car Apple ne payait pas assez le travail de ces hackers éthiques. Apple explique que la situation aurait changé depuis 2019. L’entreprise explique :
Nous versons les primes parmi les plus importantes de l’industrie. On a multiplié notre budget par quatre depuis 2019, et nous avons déjà payé des millions de dollars cette année.
Déni de gros stress
Face à l’évidence, Apple s’obstine. “Nous avons considérablement renforcé la sécurité de notre système d’exploitation iOS 15 et nous allons continuer de le faire” insiste l’entreprise.
En effet, Apple améliore la sécurité de ses appareils au fil du temps. Blastdoor a été ajoutée pour empêcher les logiciels espions de s’introduire dans iMessage. Watchdog surveille le fonctionnement de l’iPhone pour détecter les activités suspectes. Et pourtant, aucune de ces deux barrières n’a empêché la société NSO d’accomplir son œuvre.
Si chez Apple on affirme que tout va bien, les faits indiquent le contraire. D’anciens employés racontent qu’Apple a mis en place un système de codes pour prioriser la correction des vulnérabilités : en rouge celles déjà exploitées par les hackers, en orange celles pas encore détectées. Dans ce dernier cas, il faut parfois des mois à Apple pour corriger ces failles. Le déni vous dites ?
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
