pod2g intercepte l'iMessage de confidentialité d'Apple

Stéphane Moussie |
« Les conversations qui se déroulent sur iMessage et FaceTime sont protégées par un chiffrement de bout en bout qui empêche quiconque en dehors de l'expéditeur et du destinataire de les lire. Apple ne peut pas déchiffrer les données. » Voici ce qu'on peut lire dans un communiqué d'Apple publié en réaction au scandale du programme de surveillance généralisé PRISM (lire : PRISM : Apple assure protéger la vie privée de ses utilisateurs). Pourtant, d'après Cyril Cattiaux, Apple est bien en mesure de lire les iMessages. Plus connu sous le pseudo de pod2g, le hacker qui a participé au jailbreak d'iOS 6 va donner une présentation avec le chercheur « GG » sur iMessage le mois prochain dans le cadre de la conférence Hack In The Box. Le sujet : « Comment Apple peut lire vos iMessages et comment vous pouvez vous en prémunir ». pod2g, qui travaille depuis mai comme ingénieur R&D en sécurité chez QuarksLab, et son complice vont expliquer comment réaliser une attaque man in the middle, c'est-à-dire se placer entre l'émetteur et le récepteur. TechCrunch a pu interviewer pod2g avant la présentation. Il indique que la faille de conception qui permet à Apple d'intercepter et de lire les iMessages se situe au niveau du protocole. Autrement dit, tous les appareils sont concernés : iPhone, iPad, iPod touch et Mac. Un tweak pour les terminaux iOS jailbreakés et une application Mac comblant la faille seront mis à disposition après la présentation. Le hacker espère qu'Apple corrigera le problème dans ses systèmes d'exploitation. pod2g estime que seulement Apple ou une puissante organisation (il mentionne la NSA comme exemple) peuvent mettre le nez dans les iMessages, dont le protocole est robuste.
« Techniquement, nous pouvons et nous allons montrer [une interception d'iMessages], mais cela demande quelques prérequis. Dans la position d'un attaquant extérieur, le chiffrement est suffisamment fort pour pousser à réfléchir à d'autres techniques pour espionner un téléphone en particulier. Dans la position d'Apple, les choses sont vraiment différentes. »
Si Apple est en mesure d'intercepter et de lire les iMessages, pod2g précise qu'il n'a aucun élément qui amènerait à penser qu'elle l'a déjà fait. Si l'entreprise avait espionné ses conversations, le hacker assure qu'il l'aurait vu.
avatar drkiriko | 
@redmak : 'Je croix pas qu'Apple ou autre peuvent créer une techno sans laisser une porte caché 'au cas ou..'' Assez d'accord avec toi, et ça date pas d'aujourd'hui, les combinaisons de touches, les mots de pass passe-partout, les protocoles cachés, on en mettait de partout, pas dans l'objectif de "surveiller", mais bel et bien de débloquer le système au cas où. Un exemple simple: les mises à jour d'un logiciel dans une entreprise (je précise dans les années 2000). Il y avait toujours un PC sur les 100 qui verrouillait le logiciel en question, d'où une perte de temps considérable pour aller éteindre l'ensemble des postes... et bien, une petite porte dérobée et hop, on prend la min sur le poste et on ferme ce qu'il faut !
avatar eliss | 
@bibi81 'Tu n'imagines tout de même pas qu'il y a une porte cachée dans un terminal de paiement ou un distributeur de billets ?' Il y avait bien des portes dérobées dans le protocole TLS/SSL, qui est utilisé pour la très, très grande majorité des achats faits sur Internet. Alors pour un terminal de paiement ou un distributeur de billets, pourquoi pas ?
avatar oxmosys | 
@bibi81 Tu paries combien ? "bibi8121/09/13 07:13 Tu n'imagines tout de même pas qu'il y a une porte cachée dans un terminal de paiement ou un distributeur de billets ?"
avatar drkiriko | 
@bibi81 : 'Tu n'imagines tout de même pas qu'il y a une porte cachée dans un terminal de paiement ou un distributeur de billets ?' 1. Trop compliqué à faire ? Non. 2. Contre la conscience collective ? Ils n'en ont pas. 3. Risque de se faire prendre ? C'est pas moi qui l'ai fait. 4. Facile à détecter et cracker ? Non, la porte dérobée est généralement très bien protégée. Donc, c'est fort probable, ne serait-ce que pour valider des systèmes en cours de fabrication, sans avoir quelqu'un qui tape sur tous les terminaux pour voir si ça marche !
avatar denisbook | 
Le nombre envoyé n'est pas un soucis pour les machines actuelles et les outils d'analyse.
avatar vconcept | 
@marksanders : J'ai testé, mais jamais vu ce que ça avait de plus que iMessage. Ce dernier est natif, donc mieux implémenté en plus
avatar dragonrave | 
@marksanders Whatsapp bouffait ma batterie de iPhone 4. Je verrai ce qu'il en sera avec l'iPhone 5... Mais, la plus grande partie de mes contacts sont sur Apple alors iMessage à mes préférences;)
avatar MaximeG. | 
A partir du moment où il s'agit d'une conversation via internet le message est interceptable... Du coup mieux vaut rester prudent.
avatar denisbook | 
Pour la police On conserve vos historiques de connexions. C'est une obligation légale. Si l'administrateur d'un réseau n'est pas capable de le fournir à la police, il risque la prison. Ça ne concerne pas que les FAI mais tout administrateur de réseau (université, entreprises, etc)
avatar denisbook | 
C'est pour ça que l'on chiffre. Mais ça n'a de sens que si les clés restent secrètes entre les deux correspondants et si les machines sont certifiées par une autorité de confiance. Or les états (USA donc qui ont la main sur les plus importantes infrastructure d'Internet, mais france aussi) ont imposé de pouvoir se servir à leur convenance dans les ressources des entreprises de certification. (Problème que SSL du coup ne protège pas de la police et de l'espionnage d'état)
avatar FrancoisR | 
@kikool : 'J'ai rien à cacher !! Alors si ils prennent du plaisir à lire mes iMessages qu'ils le fassent et bonne lecture, lol. Et je doute que ce soit moins safe que des sms ou mails.' Je trouve cela incroyable de tenir de tels propos. Avec une réaction pareil tu es non seulement indifférent à un espionnage et en plus tu l'autorises. Que tu n'ais rien à cacher est une chose mais, rester indifférent face à cet étaux qui se ressert de plus en plus, c'est de l'inconscience. Ce genre de comportement du "j'ai rien à cacher" est dangereux car, les personnes qui gouvernent et les multinationales qui utilisent nos données privées pour "vivre" en profitent et en abusent. Si Google (il y en a d'autre comme Facebook) a mpris tant d'ampleur en 15 ans, c'est grâce à cette indifférence et donc l'autorisation donnée sur de petites choses qui permettent maintenant de tout savoir sur tout le monde. Et même si tu n'es pas complice d'un attenta cela représente un très gros danger pour les libertés.
avatar eipem | 
J'avais naïvement cru que les spécialistes de la sécurité chez Apple n'étaient pas des quiches. Je me suis visiblement planté. Mais je persiste à croire qu'une clé 2/3 est une bonne idée. Pour ceux qui se souviennent de cette discussion...
avatar max68lola22 | 
Mais qui peut croire à la vertueuse Apple ? Blanc bonnet et bonnet blanc pour tous Aucune exception
avatar YanDerS | 
ouiiiin, tro pinzuste
avatar denisbook | 
Leur vision est économique (copyright etc.), politique (espionnage des business, politiciens, surveillance et licenciement des subversifs anti guerre d'Irak), totalitaire (archivage de tout ce qui passe, citoyens etc.) Leurs lois donnent de (maigres) garanties qu'à leur propre citoyens. La défense de Obama consista à dire que l'espionnage et utilisation systématique des communications archivées n'était que contre les étrangers (nous). - Le Monde à révélé que la France à sa propre échelle (mais considérable) agit pareil mais hors de tout cadre légal ou même une pseudo-autorité de surveillance.
avatar denisbook | 
Je paries que c'est du hype Et qu'il va s'agir que du fonctionnement de APNS et des clés privées de chiffrement que nous (utilisateur) on ne maitrise pas. Tant que vous n'êtes pas maître des clés privées et du certificat qui valide votre machine, il n'y a pas de vie privé. iMessage est sympa, mais il n'est pas sécurisé. Contre le hacker lambda ? Oui mais pas contre Apple évidemment ni une autorité qui force à obtenir les clés et maîtrise les DNS etc. - En ce qui me concerne, rien ne justifie l'espionnage et archivage systématique des citoyens. Il s'agit de totalitarisme et d'un État qui s'est retourné contre l'intérêt de sa population. Toute information retenue pourra être utilisé contre vous. Vous n'avez pas d'imagination ? La police en aura... Syndicalisme, activisme, investissement, politique, un rien suffit pour devenir une cible. Les informations sur vous sont utiles.
avatar YanDerS | 
Bienvenu dans le monde des états et du Numérique
avatar kitetrip | 
Terrorisme !!! Le mot est laché !!! C'est de la poudre aux yeux, pour les gogos. Il y a longtemps que les groupes terroristes, a part les cellules locales (la chair à canon), n'utilisent plus les outils de Mme Michu. Les "Pontes" des réseaux terroristes utilisent les mêmes moyens de com que les militaires. Pour ce qui est des Ricains, la liberté du citoyen lambda n'est qu'apparence et une étape on ne peut plus critique a été franchie avec le "Patriot Act". Il suffit de voir ce que les autorités ont fait après la chute des tours du WTC : la saisie systématique de tous les documents qui pouvaient contredire la thèse "officielle" C'est un Américain qui a dit : "un peuple qui est prêt à sacrifier un peu de liberté pour plus de sécurité ne mérite ni l'un ni l'autre et finalement perdra les deux"

CONNEXION UTILISATEUR