pod2g intercepte l'iMessage de confidentialité d'Apple

Stéphane Moussie |

« Les conversations qui se déroulent sur iMessage et FaceTime sont protégées par un chiffrement de bout en bout qui empêche quiconque en dehors de l'expéditeur et du destinataire de les lire. Apple ne peut pas déchiffrer les données. » Voici ce qu'on peut lire dans un communiqué d'Apple publié en réaction au scandale du programme de surveillance généralisé PRISM (lire : PRISM : Apple assure protéger la vie privée de ses utilisateurs).

Pourtant, d'après Cyril Cattiaux, Apple est bien en mesure de lire les iMessages. Plus connu sous le pseudo de pod2g, le hacker qui a participé au jailbreak d'iOS 6 va donner une présentation avec le chercheur « GG » sur iMessage le mois prochain dans le cadre de la conférence Hack In The Box. Le sujet : « Comment Apple peut lire vos iMessages et comment vous pouvez vous en prémunir ».

pod2g, qui travaille depuis mai comme ingénieur R&D en sécurité chez QuarksLab, et son complice vont expliquer comment réaliser une attaque man in the middle, c'est-à-dire se placer entre l'émetteur et le récepteur. TechCrunch a pu interviewer pod2g avant la présentation.

Il indique que la faille de conception qui permet à Apple d'intercepter et de lire les iMessages se situe au niveau du protocole. Autrement dit, tous les appareils sont concernés : iPhone, iPad, iPod touch et Mac. Un tweak pour les terminaux iOS jailbreakés et une application Mac comblant la faille seront mis à disposition après la présentation. Le hacker espère qu'Apple corrigera le problème dans ses systèmes d'exploitation.

pod2g estime que seulement Apple ou une puissante organisation (il mentionne la NSA comme exemple) peuvent mettre le nez dans les iMessages, dont le protocole est robuste.

« Techniquement, nous pouvons et nous allons montrer [une interception d'iMessages], mais cela demande quelques prérequis. Dans la position d'un attaquant extérieur, le chiffrement est suffisamment fort pour pousser à réfléchir à d'autres techniques pour espionner un téléphone en particulier. Dans la position d'Apple, les choses sont vraiment différentes. »

Si Apple est en mesure d'intercepter et de lire les iMessages, pod2g précise qu'il n'a aucun élément qui amènerait à penser qu'elle l'a déjà fait. Si l'entreprise avait espionné ses conversations, le hacker assure qu'il l'aurait vu.

Tags
#problèmes iMessage #iMessage #confidentialité
avatar drkiriko | 
@redmak : 'Je croix pas qu'Apple ou autre peuvent créer une techno sans laisser une porte caché 'au cas ou..'' Assez d'accord avec toi, et ça date pas d'aujourd'hui, les combinaisons de touches, les mots de pass passe-partout, les protocoles cachés, on en mettait de partout, pas dans l'objectif de "surveiller", mais bel et bien de débloquer le système au cas où. Un exemple simple: les mises à jour d'un logiciel dans une entreprise (je précise dans les années 2000). Il y avait toujours un PC sur les 100 qui verrouillait le logiciel en question, d'où une perte de temps considérable pour aller éteindre l'ensemble des postes... et bien, une petite porte dérobée et hop, on prend la min sur le poste et on ferme ce qu'il faut !
avatar eliss | 
@bibi81 'Tu n'imagines tout de même pas qu'il y a une porte cachée dans un terminal de paiement ou un distributeur de billets ?' Il y avait bien des portes dérobées dans le protocole TLS/SSL, qui est utilisé pour la très, très grande majorité des achats faits sur Internet. Alors pour un terminal de paiement ou un distributeur de billets, pourquoi pas ?
avatar oxmosys | 
@bibi81 Tu paries combien ? "bibi8121/09/13 07:13 Tu n'imagines tout de même pas qu'il y a une porte cachée dans un terminal de paiement ou un distributeur de billets ?"
avatar drkiriko | 
@bibi81 : 'Tu n'imagines tout de même pas qu'il y a une porte cachée dans un terminal de paiement ou un distributeur de billets ?' 1. Trop compliqué à faire ? Non. 2. Contre la conscience collective ? Ils n'en ont pas. 3. Risque de se faire prendre ? C'est pas moi qui l'ai fait. 4. Facile à détecter et cracker ? Non, la porte dérobée est généralement très bien protégée. Donc, c'est fort probable, ne serait-ce que pour valider des systèmes en cours de fabrication, sans avoir quelqu'un qui tape sur tous les terminaux pour voir si ça marche !
avatar vconcept | 
@marksanders : J'ai testé, mais jamais vu ce que ça avait de plus que iMessage. Ce dernier est natif, donc mieux implémenté en plus
avatar dragonrave | 
@marksanders Whatsapp bouffait ma batterie de iPhone 4. Je verrai ce qu'il en sera avec l'iPhone 5... Mais, la plus grande partie de mes contacts sont sur Apple alors iMessage à mes préférences;)
avatar MaximeG. | 
A partir du moment où il s'agit d'une conversation via internet le message est interceptable... Du coup mieux vaut rester prudent.
avatar FrancoisR | 
@kikool : 'J'ai rien à cacher !! Alors si ils prennent du plaisir à lire mes iMessages qu'ils le fassent et bonne lecture, lol. Et je doute que ce soit moins safe que des sms ou mails.' Je trouve cela incroyable de tenir de tels propos. Avec une réaction pareil tu es non seulement indifférent à un espionnage et en plus tu l'autorises. Que tu n'ais rien à cacher est une chose mais, rester indifférent face à cet étaux qui se ressert de plus en plus, c'est de l'inconscience. Ce genre de comportement du "j'ai rien à cacher" est dangereux car, les personnes qui gouvernent et les multinationales qui utilisent nos données privées pour "vivre" en profitent et en abusent. Si Google (il y en a d'autre comme Facebook) a mpris tant d'ampleur en 15 ans, c'est grâce à cette indifférence et donc l'autorisation donnée sur de petites choses qui permettent maintenant de tout savoir sur tout le monde. Et même si tu n'es pas complice d'un attenta cela représente un très gros danger pour les libertés.
avatar eipem | 
J'avais naïvement cru que les spécialistes de la sécurité chez Apple n'étaient pas des quiches. Je me suis visiblement planté. Mais je persiste à croire qu'une clé 2/3 est une bonne idée. Pour ceux qui se souviennent de cette discussion...
avatar max68lola22 | 
Mais qui peut croire à la vertueuse Apple ? Blanc bonnet et bonnet blanc pour tous Aucune exception
avatar YanDerS | 
ouiiiin, tro pinzuste
avatar YanDerS | 
Bienvenu dans le monde des états et du Numérique
avatar kitetrip | 
Terrorisme !!! Le mot est laché !!! C'est de la poudre aux yeux, pour les gogos. Il y a longtemps que les groupes terroristes, a part les cellules locales (la chair à canon), n'utilisent plus les outils de Mme Michu. Les "Pontes" des réseaux terroristes utilisent les mêmes moyens de com que les militaires. Pour ce qui est des Ricains, la liberté du citoyen lambda n'est qu'apparence et une étape on ne peut plus critique a été franchie avec le "Patriot Act". Il suffit de voir ce que les autorités ont fait après la chute des tours du WTC : la saisie systématique de tous les documents qui pouvaient contredire la thèse "officielle" C'est un Américain qui a dit : "un peuple qui est prêt à sacrifier un peu de liberté pour plus de sécurité ne mérite ni l'un ni l'autre et finalement perdra les deux"

CONNEXION UTILISATEUR