Ouvrir le menu principal

iGeneration

Recherche

Apple n'utiliserait pas suffisamment son architecture de sécurité des données

Mickaël Bazoge

jeudi 14 janvier 2021 à 23:16 • 26

iOS

La sécurité n'est pas un vain mot chez Apple, mais le constructeur pourrait aller encore plus loin, estime les experts cryptographes de l'université américaine Johns-Hopkins. Et sans devoir inventer de nouveaux mécanismes : l'infrastructure est en place pour le système de chiffrement d'iOS, « mais j'ai vraiment été surpris de voir à quel point elle était insuffisamment utilisée », raconte à Wired Maximilian Zinkus, un étudiant qui a supervisé l'analyse de la plateforme mobile d'Apple.

Les chercheurs de Johns-Hopkins ont exploité la documentation officielle d'Apple ainsi que les différents rapports de sécurité de ces dix dernières années (notamment les tentatives de contournement par les malandrins et les forces de l'ordre). Ils ont établi qu'il existait des risques de vol des données en subtilisant les clés de déchiffrement stockées en mémoire après la première identification de l'utilisateur.

Après le redémarrage d'un iPhone, toutes les données sont dans un état de « protection complète » (« Complete Protection », selon le terme employé par Apple) : il est quasiment impossible de siphonner les clés de déchiffrement nécessaires pour accéder aux données de l'appareil. Mais après le premier déverrouillage via le code, ces clés sont stockées en mémoire afin que les applications puissent y avoir accès très rapidement, c'est ce que les chercheurs appellent le statut « après premier déverrouillage » (« Protected Until First User Authentication », selon Apple).

Lors d'un appel entrant sur un iPhone précédemment déverrouillé, le nom d'un contact connu s'affiche sur l'écran verrouillé. Mais en mode de protection complète, c'est à dire sur un iPhone qui a été redémarré mais pas encore déverrouillé, le nom de ce contact n'apparait pas, uniquement son numéro de téléphone. Et pour cause : les clés de déchiffrement ne sont pas encore disponibles, l'app Téléphone ne peut donc avoir accès aux données de contacts.

Quand on y songe, l'iPhone est toujours plus ou moins dans le mode « après premier déverrouillage » : on n'éteint pas son smartphone après chaque usage. En fait, il reste allumé en permanence pendant des jours, des semaines, voire des mois. Les clés de chiffrement sont donc constamment en mémoire. Un bandit ou une agence de renseignements à trois lettres qui voudrait jeter un œil indiscret dans le contenu d'un iPhone serait en mesure d'exploiter d'hypothétiques vulnérabilités pour choper les clés et ainsi, accéder aux données d'un appareil.

C'est certainement de cette manière que fonctionnent les boîtiers d'intrusion comme le Grayshift ou encore les produits de Cellebrite. Les chercheurs, qui n'entrent pas dans le détail de leur découverte, ont prévenu Apple avant la publication dans Wired. Le constructeur est resté vague dans ses commentaires, rappelant que ses produits étaient conçus avec plusieurs niveaux de sécurité afin de protéger les utilisateurs des menaces des voleurs de données.

Le type d'attaque mis en lumière par l'université « coûte très cher à développer », remarque Apple, et les forbans qui souhaiteraient les exploiter doivent avoir un accès physique à l'appareil. La Pomme ajoute que son objectif est d'équilibrer sécurité et commodité.

« Nous travaillons constamment à l'ajout de nouvelles protections pour les données de nos utilisateurs », qui stockent de plus en plus d'informations sensibles dans leurs terminaux. « Nous continuerons de développer des protections supplémentaires à la fois dans nos produits et dans nos logiciels », conclut le porte-parole. Le constructeur, tout comme Google1, apporte régulièrement des correctifs.

Les cryptographes se sont également intéressés aux sauvegardes dans le nuage proposées par Apple et par Google. Beaucoup des mesures de sécurité mises en place par les deux constructeurs sont très bonnes, soulignent les chercheurs, mais ces mécanismes ne sont pas nécessairement utilisés tout le temps. « Et quand vous sauvegardez [en ligne], vous étendez également les données disponibles sur d'autres appareils », indiquent-ils. « Donc, si votre Mac est saisi [par la police], cela augmente potentiellement l'accès des forces de l'ordre aux données contenues dans le nuage ».


  1. Pour Android, la question de la sécurité des données — sur laquelle les chercheurs de Johns-Hopkins ont aussi planché — est encore compliquée par un écosystème bien plus hétérogène que chez Apple. Sans oublier que tous les constructeurs ne proposent pas nécessairement les mises à jour de sécurité de Google en temps et en heure.  ↩︎

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

L’iPad se plie, l’AirTag s’étend, et la Watch vous détend : la semaine d’Apple par Gurman

07:20


Promos : Station de recharge 2 en 1 Belkin à 39 € et disque dur LaCie 4 To à 136 €

14/12/2024 à 23:44

• 16


Apple Intelligence se fait étriller par la BBC

14/12/2024 à 22:30

• 166


Nos coups de cœur et nos coups de gueule 2024

14/12/2024 à 11:22


Apple sommée de retirer TikTok aux USA dès janvier

13/12/2024 à 20:45

• 121


Somfy : une mise à jour TaHoma a cassé les scènes HomeKit

13/12/2024 à 18:30

• 41


Promo : le mini chargeur de voyage 3-en-1 d’Anker à 75 € (-25 %)

13/12/2024 à 17:47

• 3


Le service de paiement Wero affiche déjà 8 millions de transactions pour 14 millions d'utilisateurs

13/12/2024 à 17:00

• 29


AirTag : United traquera les bagages perdus avec le partage de position d'iOS 18.2

13/12/2024 à 16:00

• 23


Resident Evil : Capcom supprime la connexion internet obligatoire et lance une série de promos

13/12/2024 à 11:43

• 18


USB-C : Apple va arrêter la vente des iPhone SE et iPhone 14 dans l'Union européenne

13/12/2024 à 10:23

• 45


Apple sortirait des nouvelles versions de l’Apple TV et du HomePod mini en 2025

13/12/2024 à 07:53

• 18


L’Apple TV serait le premier produit à étrenner la puce Wi-Fi de la pomme

12/12/2024 à 21:15

• 46


Avez-vous personnalisé les boutons de l'écran verrouillé d'iOS 18 ?

12/12/2024 à 18:15

• 85


La sortie morcelée d’iOS 18 ralentirait le développement d’iOS 19

12/12/2024 à 17:30

• 51


iPhone 17 : les rumeurs s'alignent sur des capteurs photo en bandeau

12/12/2024 à 16:45

• 43