Face à pod2g, Apple réitère son iMessage de confidentialité

Stéphane Moussie |

pod2g, le hackeur qui a participé au jailbreak d’iOS 6, et son collègue gg l’assurent, « Apple peut lire vos iMessages s’ils le veulent ou si le gouvernement l’ordonne ». Dans une présentation donnée cette semaine à la conférence Hack in the Box, les deux employés de QuarksLab affirment avoir démontré comment Apple pourrait, si elle le voulait, lire les iMessages qui sont censés être protégés « par un chiffrement de bout en bout qui empêche quiconque en dehors de l’expéditeur et du destinataire de les lire » selon Apple. La firme de Cupertino a récusé la révélation des deux chercheurs en sécurité.


Photo Judit Klein CC

« Techniquement, nous pouvons et nous allons montrer [une interception d’iMessages], mais cela demande quelques prérequis, déclarait pod2g il y a un mois. Dans la position d’un attaquant extérieur, le chiffrement est suffisamment fort pour pousser à réfléchir à d’autres techniques pour espionner un téléphone en particulier. Dans la position d’Apple, les choses sont vraiment différentes. »

C’est cet aspect que le hacker et son collègue ont explicité hier dans un document en ligne et une présentation à Kuala Lumpur. Parce qu’Apple contrôle les clés utilisées pour chiffrer les iMessages entre l’expéditeur et le destinataire, l’entreprise pourrait en théorie se placer entre les deux personnes (attaque man in the middle) et lire leurs messages sans être repérée, voici l’explication, en résumé, donnée par QuarksLab. « Oui, il y a un chiffrement de bout en bout comme Apple le déclare, mais la faiblesse est l’infrastructure des clés de chiffrement telle qu’elle est contrôlée par Apple : ils peuvent changer une clé quand ils le veulent, et ensuite lire le contenu de nos iMessages. »

Les deux chercheurs précisent que les attaques man in the middle sont impossibles à réaliser pour le hackeur moyen et que la sécurité d’iMessage est suffisante pour l’utilisateur lambda. Ce que confirme une autre pointure dans le monde de la sécurité informatique, Dino A. Dai Zovi. Les employés de QuarksLab conseillent toutefois aux personnes qui veulent transmettre des données sensibles qu’une agence gouvernementale pourrait chercher à intercepter de ne pas utiliser le service d’Apple.

« Apple, fait une infrastructure de gestion de clés plus transparente et documente le protocole, et ça pourrait être considéré comme l’un des services de messagerie instantanée les plus pratiques et les plus sécurisés », concluent pod2g et gg.

« iMessage n’est pas architecturé de façon à permettre à Apple de lire les messages », a rétorqué une porte-parole d’Apple, Trudy Muller, à AllThingsD. « La recherche s’intéresse à des vulnérabilités théoriques qui demanderaient à Apple de restructurer le système d’iMessage pour les exploiter, et Apple n’a ni le projet ni l’intention de le faire », a-t-elle ajouté. En d’autres mots, la révélation de QuarksLab ne dépasserait pas un cadre théorique qui demanderait des efforts de réingénierie de la part d’Apple.

Pour Ashkan Soltani, un chercheur indépendant spécialiste des questions de sécurité et de vie privée, « il serait naïf de penser qu’Apple n’a pas été approché par le gouvernement à un moment donné », explique-t-il en faisant référence à Microsoft, qui aurait fourni les clés de chiffrement d’Outlook et Hotmail à la NSA, selon des documents révélés par Snowden, ex-consultant de l'agence de renseignement.

Sur le même sujet :
- Apple protège-t-elle correctement vos iMessages ?

avatar Patfem | 
En même temps on s'en doutait ! Pareil pour le SMS, pareil pour les écoutes téléphoniques.
avatar fornorst | 
Je reste sur ma faim avec cet article Il n'y a pas de conclusion ou alors si ouverte que tout est envisageable.
avatar pgo | 
"elle ne le veut pas donc pas de problème" C'est Google, Facebook, Apple & co qui doivent être content avec des utilisateurs qui pensent comme ça ! --- Enfin c'est un non-débat cette histoire, Apple distribue les clés de chiffrement, donc forcement qu'elle les lire.
avatar Hellix06 | 
@resatu Oui. Elle le pourrait. Techniquement, il suffit d'ouvrir l'enveloppe. Bien plus facile qu'un iMessage...
avatar pgo | 
Il est bien plus facile pour Apple d'ouvrir un iMessage que pour la Poste d'ouvrir une enveloppe.
avatar CBi | 
Le français utilisé dans cet article est tel qu'il doit être sûrement "chiffré" afin d'être incompréhensible.
avatar iTequila | 
Flippant
avatar Patfem | 
@tedcampa : Mais puisque vous n'avez rien à cacher, merci de me donner vos coordonnées, postales et bancaires, l'âge de vos enfants si vous en avez. Merci également de me donner votre orientation sexuelle. Si vous trompez ( ou l'avez fait) votre conjoint.... Etc... Ah oui j'oubliais la photo de la dernière tarte de tata Simone ! Bon ok je provoque là ! Mais soyons sérieux tout de même. Ce n'est parce qu'a priori, votre vie (et sûrement celle de la plupart des gens, y compris moi-même) n'intéresse pas l'état aujourd'hui, que ça ne sera jamais le cas. Utiliser l'outil informatique devient une obligation aujourd'hui. Il faut juste garder à l'esprit que potentiellement tout cela est possible. Ne soyons pas parano, mais vigilant tout simplement ! De plus, il est aujourd'hui très facile de signer et crypter ses emails, les héberger directement chez soi, utiliser un cloud personnel et pour un budget relativement raisonnable ! Il est très facile de crypter son disque dur etc.... Aucun système n'est inviolable, si un juge décide de saisir tout mon matériel, la police aura toujours accès à mes informations. L'important c'est que ce ne soit pas fait de manière automatique, continue, et sans m'en avertir !
avatar Goliath 2 | 
@Spoottmilk: tu chiffres tes mails avec quoi (sur OS/X?) ?
avatar Patfem | 
@brunitou : J'ai un certificat numérique. Et j'utilise tout simplement l'application mail d'os x. Pour obtenir un certificat, tu trouvera sans peine sur Google un fournisseur qui te le fera gratuitement.

CONNEXION UTILISATEUR