Jonathan Zdziarski fait un bilan sur son blog des efforts réalisés par Apple pour limiter ou empêcher l'accès aux données utilisateurs sur iOS 8.
Courant juillet, Apple et lui s'étaient lancés dans une courte partie de ping-pong sur la capacité de logiciels spécialisés à pouvoir extraire des données personnelles d'iPhone et d'iPad sur iOS 7. Des logiciels disponibles sur le marché qui peuvent être utilisés par les forces de l'ordre dans le cadre d'enquêtes mais aussi par des personnes nettement moins bien intentionnées. Pour le chercheur, certains passages dans iOS étaient insuffisamment protégés et sans raisons valables.
Tout n'est pas encore parfait mais le chercheur souligne les nombreux efforts réalisés par les ingénieurs d'Apple. Il cite le cas par exemple du service système com.apple.mobile.file_relay qui pouvait aider à extraire un volume varié de données personnelles - Apple le présentait au contraire comme un outil de diagnostic de portée limitée. Apple ne l'a pas supprimé mais les tentatives de Zdziarski pour l'exploiter ont cette fois fait chou blanc. Que ce soit en voulant passer par une connexion USB ou sans-fil. A priori aussi, ajoute le chercheur, les outils d'analyses du marché vont buter sur le même obstacle.
Empêchements également lorsqu'on essaie de récupérer, au moyen d'un accès sans fil, les données stockées par des applications. D'autres services systèmes pouvaient être mis à contribution.
Il faut obligatoirement un branchement physique par USB, ce qui demeure un motif d'inquiétude à son goût. Certes, iTunes en a besoin pour manipuler les données que l'on transfère depuis ou vers dans les applications, même si l'iPhone est verrouillé. Mais justement, les utilitaires spécialisés peuvent aussi le faire. Au moins, cet impératif d'être en possession de l'appareil visé réduit-il les risques d'abus. C'est un progrès.
Le chercheur conseille tout de même de prendre l'habitude de chiffrer et protéger ses sauvegardes même lorsqu'on les réalise sans connexion physique. Ou d'appliquer quelques règles de sécurité lorsqu'on craint pour les informations sur son téléphone et que l'on voyage dans ces zones sensibles.
Des interrogations demeurent sur la manière dont Apple a réussi à bloquer l'exploitation - par des accès sans-fil et donc discrets - des services système pointés du doigt. Il y a forcément d'autres moyens possibles mais leur découverte et utilisation a été rendue beaucoup plus compliquée. Les éventuels efforts de jailbreak d'iOS 8 permettront peut-être d'en apprendre plus.
Le chercheur conclut sur une appréciation nettement plus positive que lors des précédents épisodes.
Bien que je ne suis pas encore sûr de savoir comment ils contrôlent désormais l'accès à ces fonctions situées dans les entrailles du système, à tout le moins, il ne semble pas qu'elles soient aussi largement ouvertes aux abus comme c'était le cas avec iOS 7. Bravo à Apple pour s'être attaquée à un problème très complexe et subtil et qu'il est si difficile d'expliquer.
