Cybersécurité - Innovations digitales et numériques

Le pirate n’aurait jamais réussi à hacker tous ces comptes iCloud si les victimes, aussi vedettes soient-elles, n’avaient pas pris la sécurité de leur compte Apple à la légère. Elles auraient par exemple pu :

• Adopter des mots de passe robustes, comme par exemple « Sh1neBrigh7!!!Lik3@R1h4nn4inZeSky:-) » au lieu d’une date d’anniversaire ou du nom du toutou familial, c’est à dire des informations que l’on peut facilement retrouver et recouper sur Internet (ingénierie sociale).
• Mieux choisir sa question de sécurité (en cas de perte ou de vol de mot de passe), toujours pour éviter d’être la victime d’ingénierie sociale.
• Activer la validation en deux étapes Apple, pour s’assurer que personne d’autre ne vienne se connecter illégitimement.

L’alerte avait été tirée par des chercheurs en sécurité chinois en mars 2014. L’un d’entre eux relayait alors sur les forums chinois la découverte d’une étrange librairie sur son iPhone. Celle-ci modifiait l’identifiant du développeur afin de détourner les fonds générés par les clics de l’utilisateur. Pour faire simple, chaque clic que l’utilisateur effectuait gênerait bien des revenus publicitaires, mais ceux-ci n’étaient pas reversés à l’annonceur légitime et filaient sur le compte du créateur du malware.

Problème, selon un chercheur en sécurité, Andreas Kurtz, cette affirmation ne se confirme pas dans les faits et les pièces jointes (sous MobileMail.app) sont ainsi en réalité stockées en clair sur le terminal. Une mauvaise nouvelle pour les entreprises qui pensaient ces documents protégés.

Plusieurs actualités récentes sont venues bousculer la sécurité, pourtant fer de lance, des produits de la marque à la pomme. On pense notamment à :

• La faute de code grossière ou volontaire rendant possible l’interception des communications SSL [1]
• L’introduction de la biométrie avec Touch ID et des questionnements quant à la conservation des empreintes digitales au regard des opérations menées par le NSA
• Le contournement des mécanismes de sécurité :
                                 - L’exploitation de Siri depuis l’écran de déverrouillage pour passer un appel, accéder à  l’historique d’appel et la liste des contacts
                                 - La désactivation de la fonction “Find my iPhone” sans connaissance du mot de passe associé
                                 - L’accès au “centre de contrôle” sans connaissance du mot de passe de déverrouillage, permettant ainsi l’usurpation des comptes email, Facebook ou encore Twitter.
• Le Jailbreak “untethered” toujours d’actualité et fonctionnant sur la dernière version [2] d’iOS (7.0.6)

En réponse aux polémiques et failles de sécurité, Apple a récemment mis à jour son livre blanc sur la sécurité des systèmes iOS [3]. Au sein de ce billet, nous nous concentrons tout d’abord sur la problématique du Jailbreak puis sur les interrogations autour de Touch ID en mettant en lumière les affirmations relatives à ces sujets.

La dangerosité de la faille a rapidement donné lieu sur les réseaux à une déferlante d’articles et de précisions, le hashtag « #Gotofail » devenant le signal de ralliement. Le chercheur indépendant Ashkan Soltani (qui avait notamment aidé à prouver que les liens envoyés sous Skype étaient surveillés de manière proactive) s’est ainsi étonné sur Twitter qu’Apple ne procède pas systématiquement aux tests qui auraient permis de détecter ce type de comportement. Mais dans le guide de sécurité fourni par l’entreprise, il est demandé que les « données invalides ou inattendues » soient autant testées que les données attendues. Pour Adam Langley, de chez Google, il s’agit d’une erreur d’autant plus grave qu’elle est grossière.

Suite à l’émergence du problème qui touche le code de Safari et affecte la vérification d’authenticité des serveurs, avec les risques que cela comporte, Apple vient de mettre en place un site, Gotofail.com, qui vous permet de tester vos appareils Apple à partir du navigateur Safari. Un autre site non officiel permet aussi de faire le test.

En procédant de la sorte, Apple profitait des hésitations de Microsoft quant au lancement d’une version d’Office pour tablettes autres que Windows. Mais la toute dernière initiative de l’éditeur de Redmond ne change finalement que peu la donne : il ne propose toujours pas de suite bureautique native pour les tablettes autres que celles sous Windows 8. Mais cela pourrait changer assez rapidement. Selon Mary Jo Foley, de ZDNet, Office pour iPad est loin d’être abandonné. Ce projet, au nom de code Miramar, pourrait même constituer la première véritable implémentation orientée tactile de la suite bureautique de Microsoft. Steve Ballmer avait déjà plus ou moins reconnu l’existence de ce projet. Mais celui-ci pourrait trouver concrétisation « quelque part au premier semestre 2014. »

add your insight...

Le 18 juillet dernier lors de la conférence HOPE X de New York, le chercheur en sécurité Jonathan Zdziarski (aka Nervegas, spécialiste de la sécurité iOS et contributeur à plusieurs jailbreak iOS) à dévoilé des vulnérabilités volontairement implémentées par Apple dans son système d’exploitation mobile.

Parmi les informations qu’Apple recueille et est susceptible de fournir aux agences gouvernementales des Etats-Unis suivant après assignation ou présentation d’un mandat figurent :

• des informations basiques d’enregistrement (nom, adresse, courriel, numéro de téléphone) ;
• les fichiers logs de données de messagerie stockées 60 jours durant dans le service iCloud (inclus l’historique des échanges entrants et sortants, la date, l’heure et les adresses électroniques de l’expéditeur et des destinataires) ;
• d’autres contenus iCloud, dont les photos, les contacts, le calendrier, les favoris ou encore les sauvegardes, tant que le client n’a pas supprimé ce contenu de son compte (qui ne serait de facto plus conservé sur les serveurs d’Apple);
• des données personnelles issues de l’application de localisation Find My iPhone. Apple précise cependant qu’il ne peut pas activer cette fonctionnalité sur demande des forces de l’ordre ; elle doit avoir été activée par le client lui-même pour ce dispositif en particulier que les agences souhaiteraient tracer;
• des contenus spécifiques achetés ou téléchargés depuis la vitrine en ligne d’Apple en plus du nom, adresse de livraison, numéro de téléphone, adresse IP ou endroit où l’achat a été effectué ;
• Apple peut extraire certaines catégories de données actives sur des dispositifs verrouillés par un code après réception d’un mandat de perquisition valide. Toutefois, le processus d'extraction des données est « uniquement réalisé au siège social d’Apple, à Cupertino, Californie » et sur des terminaux en bon état de fonctionnement, précise la multinationale américaine. Le groupe recommande aux représentants des autorités fédérales d’assister à l’extraction. Il précise également que le processus est réalisable à partir d’iOS 4 et les données qu’il peut fournir aux forces de l’ordre sont les SMS, photos, vidéos, liste de contacts, enregistrements audio et historique d’appel. En revanche, Apple ne pourra rien pour les demandes concernant les courriels, les rendez-vous notés sur le calendrier, ou tout ce qui touche aux applications tierces.

Après l’affaire Snowden, nous savons que les fournisseurs de services web ferment plus ou moins volontairement les yeux sur la surveillance intrusive orchestrée par la NSA. A l’heure où ils essaient de communiquer plus positivement sur le sujet (Google réaffirme que l’accès à sa messagerie est sécurisée à 100% en HTTPS, Microsoft prévoit de passer par des voies plus juridiques pour consulter un contenu privé, etc.), le sujet de la confidentialité des données des utilisateurs est un sujet très sensible.

D’ailleurs, lorsque le magazine Wired a souhaité demander à Microsoft, Google et Facebook à quelle fréquence les équipes internes consultaient les contenus privés de leurs utilisateurs, ou quels étaient les processus en place pour éviter tout risque d’abus, personne n’a jamais répondu…

Nous pouvons attendre beaucoup de choses de nos messageries électroniques gratuites. Mais surement pas l’assurance d’une parfaite confidentialité de nos informations.