Apple, par voie de presse, a répondu au chercheur Jonathan Zdziarski qui s'était ému de la présence, pas toujours justifiée à son goût de backdoors dans iOS. Il n'y voyait pas systématiquement malice, mais ces portes d'entrée dérobées fonctionnent selon lui de manière un peu trop opaque et en contournant les dispositifs de chiffrement d'iOS pour ne pas entraîner de suspicion.
Apple a publié une réponse à ce sujet :
Nous avons conçu iOS de telle manière que ses fonctions de diagnostic n'interfèrent pas avec la sécurité et la vie privée de l'utilisateur, mais qu'elles procurent néanmoins aux services informatiques des entreprises, aux développeurs et à Apple les moyens de déceler l'origine de dysfonctionnements. Un utilisateur doit avoir déverrouillé son appareil et validé la demande pour se fier à l'ordinateur auquel il est branché avant que celui-ci puisse accéder à un nombre limité de données de diagnostic. L'utilisateur doit donner son accord pour partager ces données et elles ne sont jamais transférées sans son accord.
Comme nous l'avons déjà dit à d'autres occasions, Apple n'a jamais travaillé avec aucun service gouvernemental, d'aucun pays pour créer une backdoor dans l'un ou l'autre de nos produits ou services.
Jonathan Zdziarski a apporté des commentaires à cette réponse sur son blog. S'il convient tout à fait que ces services sont nécessaires et utilisés dans les contextes décrits par Apple, il s'étonne en revanche que ces données puissent être aussi transmises en dehors de ces cas de figure.
Il n'y a pas de moyen, pas d'option offerte à l'utilisateur pour bloquer dans tous les cas cette récupération d'informations « par conséquent, chaque appareil possède ces fonctions activées et il n'y a aucun moyen de les désactiver, les utilisateurs ne sont pas non plus invités à donner leur accord à l'envoi de ce type de données personnelles hors de l'appareil. Ce qui entretient le doute sur le fait qu'Apple dit bien la vérité sur ce point. » Un ordinateur sur lequel on a donné son accord (message Se fier ou Ne pas se fier lors du premier branchement de son iPhone) conserve ces droits d'accès. La machine ou ces informations - si elles viennent à être dérobées - peuvent ensuite servir pour obtenir l'accès aux données stockées sur l'iPhone en question.
Il pointe également la possibilité de contourner le chiffrement des informations transmises vers un ordinateur lors de la sauvegarde d'un iPhone/iPad comme la preuve manifeste d'une lacune « Je ne crois pas une seule seconde à l'idée que ces services sont destinés exclusivement à des fins de diagnostic. Les données qu'ils laissent sortir sont de nature très personnelle. Il n'y aucune notification adressée à l'utilisateur. Un véritable outil de diagnostic aurait été conçu pour respecter l'utilisateur, en le sollicitant comme le font les applications qui accèdent aux données et en tenant compte du chiffrement des sauvegardes. Quel est l'intérêt de promettre un chiffrement des données de l'utilisateur s'il y a une porte dérobée pour le contourner ? »
- le billet complet de Jonathan Zdziarski.
