Backdoor : iOS laisse encore des portes ouvertes
Le niveau de sécurité aujourd'hui d'un iPhone avec iOS 7 est élevé mais quelques portes d'entrée restent trop aisées à utiliser, explique Jonathan Zdziarski dans une présentation résumée par ZDNet. Zdziarski, qui travaille sur ces questions, s'exprimait lors d'une conférence à New York. Engagé dans les efforts de jailbreak jusqu'à iOS 4, il collabore parfois avec les autorités lorsqu'il est nécessaire d'extraire des données d'un iPhone dans le cadre d'une enquête. S'il crédite Apple d'efforts importants pour sécuriser iOS, il reconnaît aussi à la Pomme d'avoir laissé dans le système différentes moyens d'extraire des données personnelles.
Des services situés au niveau du firmware qui sont là en partie pour faciliter la vie des entreprises dans la gestion de leurs flotte de mobiles mais qui peuvent être aussi utilisés pour sortir des informations personnelles. Il ne s'agit pas à proprement parler de failles de sécurité, mais de moyens non documentés que peuvent utiliser des agences gouvernementales ou des spécialistes de la récupération de données. Il donne les noms de quelques sociétés qui vendent de telles solutions, auprès des gouvernements par exemple.
Apple a des moyens à sa disposition pour récupérer des informations — sous mandat — dans le cadre d'enquêtes de police. Elle explique qu'elle peut fournir les photos, les vidéos, les contacts, les mémos vocaux et le journal des appels. Mais pas les mail, ni les événements de calendrier ni les données des apps de tierces parties.
Jonathan Zdziarski suggère quelques méthodes pour mieux protéger son iPhone de ces utilitaires spécialisés, à défaut de le rendre inviolable chez Apple, comme d'utiliser un mot de passe complexe et se tourner vers l'application Apple Configurator Apple Configurator (gratuit) pour instaurer des restrictions d'accès. Il espère surtout qu'Apple expliquera pourquoi de tels services sont présents sans que l'utilisateur n'en ait forcément conscience et ne puisse les empêcher.
- La présentation complète de Zdziarski est disponible ici en PDF.
On sait déjà qu'à chaque faille bouchée une autre apparaîtra, c'est de l'amélioration perpétuelle pour pourchasser de la faille perpétuelle.
@Oracle :
A ceci près que ce ne sont pas des failles, mais des passages secrets.
Les failles existeront toujours. Maintenant si l'on veut une sécurité accrue, il faut se tourner vers BlackBerry. Leur savoir faire est évident et prouvé contrairement à IOS ou Android. C'est leur force.
Et ce n'est pas la collaboration avec IBM qui va changer quoi que ce soit.
Acheter un BlackBerry au 21ème siècle c'est comme s'équiper d'une épée quand tout le monde autour de soi porte une arme à feu : un certain art de vivre, un certain choix d'avenir
@hiqosa : l'article explique que les "failles" sont pour un usage gouvernemental. Je ne suis pas convaincu que BlackBerry, jadis pied à terre technologique de la NSA, et fournisseur officiel du programme Échelon, soit le reflet d'une sécurité accrue.
Je ne suis pas dupe du fait que ces failles peuvent bien sur être exploitées par des personnes malveillantes.
Quel est l'argumentaire pur dire que BB dispose d'une sécurité accrue ?
@Hiqosa
Faut-il te rappeler les fois ou Blackberry a livré des données de certains smartphones à la demandes des autorités de pays tels que l'Arabie Saoudite ou l'Inde?
http://www.thestar.com/business/2012/04/07/rim_gives_india_access_to_blackberry_messages.html
http://www.theguardian.com/world/2010/aug/07/saudi-arabia-deal-avert-blackberry-ban
Comme tu peux le voir, en Arabie Saoudite, ils ont même permis au gouvernement d'espionner tous les usagers de smartphones de la marque.
Alors cessons de faire semblant de croire que qu'il existe un OS totalement sûr.
"mais de moyens non documentés que peuvent utiliser des agences gouvernementales ou des spécialistes de la récupération de données"
C'est sur que s'ils ferment complètement les portes la NSA ne pourra plus rentrer et ils en ferons les frais.
Evidemment aucun OS n'est invulnérable. Mais je voulais juste souligner que BlackBerry est quand même au-dessus d'Apple question sécurité. C'est quand même leur coeur de métier, non ?
Après peu importe, IOS évolue dans le bon sens.
Quand à la remarque d'Oracle -
"Acheter un BlackBerry au 21ème siècle c'est comme s'équiper d'une épée quand tout le monde autour de soi porte une arme à feu" -
Alors je dis bravo Monsieur. Une remarque très intelligente de votre part. En quoi acheter un BB de nos jours est une tare ?! Même si ce groupe a quitté le grand public que domine Android et Apple, BlackBerry existe toujours ... mais dans le monde professionnel, non ?
La clientèle de BlackBerry est différente de celle d'Apple et s'en contrefout de taper du cochon ou d'avoir instagram sur leur téléphone.
Faut-il pour autant les dénigrer ?
Excuse moi d'avance ; elle est facile (et gratuite)… Mais impossible de la retenir :
« La clientèle de BlackBerry est différente de celle d'Apple »
En effet ; la clientèle de BlackBerry est inexistante. :D
Blagounette à part… Rien ne garantit que BB n'en fait pas autant.
Regarde nous autres, en train de pleurer nos naïvetés virginales fraîchement perdues… :D
Plutôt que des failles, il parle surtout de *services* qui tournent en fond et permettent de récupérer toutes sortes de données, et notamment d'enregistrer (log) absolument tout ce qui se passe sur l'appareil.
Il démontre que ces services n'ont pas d'intérêts particuliers dans leur état actuel ni pour les backups, ni pour iTunes, ni pour les développeurs, et il pose donc la question à Apple de savoir pourquoi de tels services tournent en permanence sur *tous* les appareils (mode debug ou non).
Dans l'app musique, est ce que quelqu'un peut me dire si on peut enfin rajouter des morceaux depuis une playlist vers une playlist????
Cette fonction a disparu depuis ios7 et ça devient franchement pénible....
Merci bien
Puis message déplacer dans la news ios8 bêta 4 s'il vous plait, merci
Les gars il s'agit ici de Blackdoors qu'Apple peut activer à tout moment pour récupérer les précieuses informations contenues dans nos téléphones.
L'article mentionne que certaines données liées au mail etc. ne peuvent-être récupérées mais j'y crois pas du tout !! À partir du moment ou on peut récupérer une certaines partie, je pense qu'ils peuvent tout extraire et analyser.
Mais bon certains viendront encore nous dire qu'ils ont rien à cacher. Au final aucune société n'est clean avec ses clients. Tous à nous baratiner avec leur discours commercial à la noix.
@Vetsa :
Yah