Ouvrir le menu principal

iGeneration

Recherche

Apple n'utiliserait pas suffisamment son architecture de sécurité des données

Mickaël Bazoge

jeudi 14 janvier 2021 à 23:16 • 26

iOS

La sécurité n'est pas un vain mot chez Apple, mais le constructeur pourrait aller encore plus loin, estime les experts cryptographes de l'université américaine Johns-Hopkins. Et sans devoir inventer de nouveaux mécanismes : l'infrastructure est en place pour le système de chiffrement d'iOS, « mais j'ai vraiment été surpris de voir à quel point elle était insuffisamment utilisée », raconte à Wired Maximilian Zinkus, un étudiant qui a supervisé l'analyse de la plateforme mobile d'Apple.

Les chercheurs de Johns-Hopkins ont exploité la documentation officielle d'Apple ainsi que les différents rapports de sécurité de ces dix dernières années (notamment les tentatives de contournement par les malandrins et les forces de l'ordre). Ils ont établi qu'il existait des risques de vol des données en subtilisant les clés de déchiffrement stockées en mémoire après la première identification de l'utilisateur.

Après le redémarrage d'un iPhone, toutes les données sont dans un état de « protection complète » (« Complete Protection », selon le terme employé par Apple) : il est quasiment impossible de siphonner les clés de déchiffrement nécessaires pour accéder aux données de l'appareil. Mais après le premier déverrouillage via le code, ces clés sont stockées en mémoire afin que les applications puissent y avoir accès très rapidement, c'est ce que les chercheurs appellent le statut « après premier déverrouillage » (« Protected Until First User Authentication », selon Apple).

Lors d'un appel entrant sur un iPhone précédemment déverrouillé, le nom d'un contact connu s'affiche sur l'écran verrouillé. Mais en mode de protection complète, c'est à dire sur un iPhone qui a été redémarré mais pas encore déverrouillé, le nom de ce contact n'apparait pas, uniquement son numéro de téléphone. Et pour cause : les clés de déchiffrement ne sont pas encore disponibles, l'app Téléphone ne peut donc avoir accès aux données de contacts.

Quand on y songe, l'iPhone est toujours plus ou moins dans le mode « après premier déverrouillage » : on n'éteint pas son smartphone après chaque usage. En fait, il reste allumé en permanence pendant des jours, des semaines, voire des mois. Les clés de chiffrement sont donc constamment en mémoire. Un bandit ou une agence de renseignements à trois lettres qui voudrait jeter un œil indiscret dans le contenu d'un iPhone serait en mesure d'exploiter d'hypothétiques vulnérabilités pour choper les clés et ainsi, accéder aux données d'un appareil.

C'est certainement de cette manière que fonctionnent les boîtiers d'intrusion comme le Grayshift ou encore les produits de Cellebrite. Les chercheurs, qui n'entrent pas dans le détail de leur découverte, ont prévenu Apple avant la publication dans Wired. Le constructeur est resté vague dans ses commentaires, rappelant que ses produits étaient conçus avec plusieurs niveaux de sécurité afin de protéger les utilisateurs des menaces des voleurs de données.

Le type d'attaque mis en lumière par l'université « coûte très cher à développer », remarque Apple, et les forbans qui souhaiteraient les exploiter doivent avoir un accès physique à l'appareil. La Pomme ajoute que son objectif est d'équilibrer sécurité et commodité.

« Nous travaillons constamment à l'ajout de nouvelles protections pour les données de nos utilisateurs », qui stockent de plus en plus d'informations sensibles dans leurs terminaux. « Nous continuerons de développer des protections supplémentaires à la fois dans nos produits et dans nos logiciels », conclut le porte-parole. Le constructeur, tout comme Google1, apporte régulièrement des correctifs.

Les cryptographes se sont également intéressés aux sauvegardes dans le nuage proposées par Apple et par Google. Beaucoup des mesures de sécurité mises en place par les deux constructeurs sont très bonnes, soulignent les chercheurs, mais ces mécanismes ne sont pas nécessairement utilisés tout le temps. « Et quand vous sauvegardez [en ligne], vous étendez également les données disponibles sur d'autres appareils », indiquent-ils. « Donc, si votre Mac est saisi [par la police], cela augmente potentiellement l'accès des forces de l'ordre aux données contenues dans le nuage ».


  1. Pour Android, la question de la sécurité des données — sur laquelle les chercheurs de Johns-Hopkins ont aussi planché — est encore compliquée par un écosystème bien plus hétérogène que chez Apple. Sans oublier que tous les constructeurs ne proposent pas nécessairement les mises à jour de sécurité de Google en temps et en heure.  ↩︎

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

DMA : Apple accusée d’empêcher le développement de navigateurs sans WebKit

22:00

• 5


Orange offre la 5G à tous ses clients pour l’été

21:30

• 10


L’iPhone 17 Air aurait droit à la couleur Sky Blue en exclusivité

21:00

• 23


Une troisième bêta développeurs pour iOS 18.6

20:00

• 8


Un coloris orange cuivré pour l’iPhone 17 Pro ?

16:35

• 24


ChromeOS va bientôt fusionner avec Android

14:50

• 15


iPhone 17 : la production d’essai démarre en Inde, une étape clé

12:06

• 4


Faute de nouveau Siri, le premier écran connecté d’Apple n’arriverait finalement qu’en 2026

09:41

• 26


Une station de chargement et de rangement en bois pour tous vos terminaux !

09:06

• 0


Entre dérives, intégration dans les Tesla et nouvelle version, la semaine agitée de Grok et xAI

13/07/2025 à 14:03

• 41


Comment l’iPhone a changé le journalisme de terrain chez M6

13/07/2025 à 10:00

• 42


Sortie de veille : après le départ du n°2 d’Apple, Tim Cook est-il le prochain sur la liste ?

12/07/2025 à 10:44

• 57


Apple serait en pole position pour diffuser la F1 aux États-Unis avec une offre à 150 millions de dollars 🆕

12/07/2025 à 07:56

• 40


Prime Day : les derniers bons plans pour équiper sa maison en domotique

11/07/2025 à 20:50

• 14


La Chine s'attaque aux batteries externes de mauvaise qualité, ce qui cause des remous chez les fabricants

11/07/2025 à 20:15

• 45


Les produits Wemo de Belkin sont poussés à la retraite sauf s'ils utilisent HomeKit

11/07/2025 à 19:30

• 11