Apple n'utiliserait pas suffisamment son architecture de sécurité des données

La sécurité n'est pas un vain mot chez Apple, mais le constructeur pourrait aller encore plus loin, estime les experts cryptographes de l'université américaine Johns-Hopkins. Et sans devoir inventer de nouveaux mécanismes : l'infrastructure est en place pour le système de chiffrement d'iOS, « mais j'ai vraiment été surpris de voir à quel point elle était insuffisamment utilisée », raconte à Wired Maximilian Zinkus, un étudiant qui a supervisé l'analyse de la plateforme mobile d'Apple.

Les chercheurs de Johns-Hopkins ont exploité la documentation officielle d'Apple ainsi que les différents rapports de sécurité de ces dix dernières années (notamment les tentatives de contournement par les malandrins et les forces de l'ordre). Ils ont établi qu'il existait des risques de vol des données en subtilisant les clés de déchiffrement stockées en mémoire après la première identification de l'utilisateur.

Après le redémarrage d'un iPhone, toutes les données sont dans un état de « protection complète » (« Complete Protection », selon le terme employé par Apple) : il est quasiment impossible de siphonner les clés de déchiffrement nécessaires pour accéder aux données de l'appareil. Mais après le premier déverrouillage via le code, ces clés sont stockées en mémoire afin que les applications puissent y avoir accès très rapidement, c'est ce que les chercheurs appellent le statut « après premier déverrouillage » (« Protected Until First User Authentication », selon Apple).

Lors d'un appel entrant sur un iPhone précédemment déverrouillé, le nom d'un contact connu s'affiche sur l'écran verrouillé. Mais en mode de protection complète, c'est à dire sur un iPhone qui a été redémarré mais pas encore déverrouillé, le nom de ce contact n'apparait pas, uniquement son numéro de téléphone. Et pour cause : les clés de déchiffrement ne sont pas encore disponibles, l'app Téléphone ne peut donc avoir accès aux données de contacts.

Quand on y songe, l'iPhone est toujours plus ou moins dans le mode « après premier déverrouillage » : on n'éteint pas son smartphone après chaque usage. En fait, il reste allumé en permanence pendant des jours, des semaines, voire des mois. Les clés de chiffrement sont donc constamment en mémoire. Un bandit ou une agence de renseignements à trois lettres qui voudrait jeter un œil indiscret dans le contenu d'un iPhone serait en mesure d'exploiter d'hypothétiques vulnérabilités pour choper les clés et ainsi, accéder aux données d'un appareil.

C'est certainement de cette manière que fonctionnent les boîtiers d'intrusion comme le Grayshift ou encore les produits de Cellebrite. Les chercheurs, qui n'entrent pas dans le détail de leur découverte, ont prévenu Apple avant la publication dans Wired. Le constructeur est resté vague dans ses commentaires, rappelant que ses produits étaient conçus avec plusieurs niveaux de sécurité afin de protéger les utilisateurs des menaces des voleurs de données.

Le type d'attaque mis en lumière par l'université « coûte très cher à développer », remarque Apple, et les forbans qui souhaiteraient les exploiter doivent avoir un accès physique à l'appareil. La Pomme ajoute que son objectif est d'équilibrer sécurité et commodité.

« Nous travaillons constamment à l'ajout de nouvelles protections pour les données de nos utilisateurs », qui stockent de plus en plus d'informations sensibles dans leurs terminaux. « Nous continuerons de développer des protections supplémentaires à la fois dans nos produits et dans nos logiciels », conclut le porte-parole. Le constructeur, tout comme Google¹, apporte régulièrement des correctifs.

Les cryptographes se sont également intéressés aux sauvegardes dans le nuage proposées par Apple et par Google. Beaucoup des mesures de sécurité mises en place par les deux constructeurs sont très bonnes, soulignent les chercheurs, mais ces mécanismes ne sont pas nécessairement utilisés tout le temps. « Et quand vous sauvegardez [en ligne], vous étendez également les données disponibles sur d'autres appareils », indiquent-ils. « Donc, si votre Mac est saisi [par la police], cela augmente potentiellement l'accès des forces de l'ordre aux données contenues dans le nuage ».