Apple n'a manifestement pas trop apprécié la manière dont Google a révélé des cas de piratage d'iPhone liés à 14 vulnérabilités touchant Safari, le noyau d'iOS et le sandboxing (lire : Des iPhone ont pu être piratés pendant des années, démontre Google). Seul hic, l'équipe du projet Zero a escamoté, sciemment ou inconsciemment, certains détails.
Comme par exemple le fait que la minorité ouïgoure avait été ciblée par les autorités chinoises par le biais de ces failles de sécurité, et que l'iPhone n'était pas la seule plateforme concernée : Android et Windows étaient aussi invités à la fête. Dans un communiqué, Apple entend remettre les pendules à l'heure et « s'assurer que tous nos clients ont les faits ».
Le constructeur rappelle pour commencer que ces attaques se concentraient sur une cible assez spécifique, loin du piratage de masse que laissait entendre Google. « L'attaque a touché moins d'une dizaine de sites consacrés à la communauté ouïgoure », explique Apple. Mais néanmoins, « quelle que soit l'ampleur de l'attaque, nous prenons la sécurité de tous les utilisateurs extrêmement au sérieux ».
Apple s'agace visiblement que les billets postés par Google « six mois après les correctifs » ont pu créer une impression « d'exploitation de masse afin de surveiller les activités confidentielles des populations en temps réel ». Provoquant ainsi la peur chez les utilisateurs d'iPhone que leurs appareils étaient compromis. « Ça n'a jamais été le cas », martèle le constructeur.
Le second point mis en évidence par Apple est que ces attaques ont duré deux mois environ, et pas « les deux années avancées par Google ». Les correctifs ont été apportés en février, dix jours après qu'Apple s'en est aperçu. « Lorsque Google nous a approchés, nous étions déjà en train d'apporter des correctifs ».
Pour conclure, Apple indique que la sécurité est un « voyage sans fin » : les utilisateurs des appareils du constructeur peuvent s'appuyer sur le travail des équipes de sécurité de la Pomme. « La sécurité d'iOS est inégalée car nous assumons la responsabilité de la sécurité de notre matériel et de nos logiciels de bout en bout ».
Mise à jour — Google s'en tient à son rapport d'origine, dans une déclaration envoyée à The Verge. Le moteur de recherche rappelle que les billets postés par le projet Zero ont pour objectif d'améliorer la compréhension des failles de sécurité pour renforcer la sécurité et élaborer des « stratégies de défense ». Les articles de l'équipe Zero se concentraient sur les aspects techniques des failles. Google indique enfin que le travail se poursuit avec Apple et les autres entreprises pour sécuriser les utilisateurs.
