En fin de semaine à New York avait lieu la 10e de l’événement Hackers On Planet Earth, un rendez-vous annuel regroupant des pirates et des chercheurs en sécurité informatique de partout à travers le monde. On retrouvait au programme la conférence de Jonathan Zdziarski, spécialiste en cybersécurité, intitulée Identifying Backdoors, Attack Point, and Surveillance Mechanisms in iOS Devices.
La seule façon de se prémunir contre une fuite potentielle des renseignements personnels logés sur un appareil iOS? L’éteindre complètement.
Tel que l’on peut le soupçonner à la lecture du titre, Zdziarski en avait long à dire sur la sécurité du système d’exploitation mobile d’Apple. Bien qu’il a souligné les efforts importants déployés par l’entreprise pour sécuriser iOS, il soupçonne celle-ci d’avoir laissé derrière des vulnérabilités permettant d’exploiter ses appareils et d’extraire les données personnelles logées par ceux-ci.
D’ailleurs, Zdziarski connaît très bien son sujet. Il a participé à l’élaboration des premiers logiciels permettant le débridage (jailbreak) de l’iPhone. De plus, il est l’auteur de 5 livres concernant iOS publiés par la réputée maison d’édition O’Reilly. Sans compter que les autorités ont déjà fait appel à ses services dans le cadre d’enquêtes policières, notamment lorsqu’il est nécessaire d’extrait les données d’un iPhone.
Selon Zdziarski, des services situés au niveau micrologiciel (firmware) – généralement présents pour faciliter la gestion de flottes d’appareils mobiles – peuvent être exploités pour extraire les données des appareils propulsés par iOS. Il ne s’agit pas d’une faille de sécurité, mais plutôt de moyens non documentés qui pourraient être utilisés par des agences gouvernementales ou des entreprises spécialisées dans la récupération de données.
Une certaine transparence manifestée par Apple
Légalement, Apple doit avoir à sa disposition un moyen de récupérer certaines informations qui se retrouvent sur ses appareils afin de remettre ces données aux forces de l’ordre dans le cadre d’une enquête. Toutefois, ses lignes directrices en matière de l’application de la loi mentionnent qu’elle peut fournir les photos, les vidéos, la liste de contacts, les mémos vocaux et l’historique des appels. En aucun cas n’est-il question de fournir les événements inscrits à l’agenda ni les données provenant des applications de tierces parties.
Pourtant, tout indique que les services non documentés qui roulent en arrière-plan de l’ensemble des appareils iOS peuvent fournir davantage que ce que la loi prescrit.
Le chiffrage jugé inefficace
De plus, Zdziarski souligne que le chiffrage de données sous iOS 7 est inefficace. Il affirme que même si votre iPhone ou iPad est verrouillé, il demeure toujours susceptible d’échapper vos données personnelles non cryptées à quiconque exploitant les services en question.
La seule façon de se prémunir contre une fuite potentielle des renseignements personnels logés sur un appareil iOS? L’éteindre complètement.
Pour en apprendre davantage sur les découvertes de Zdziarski, nous vous invitons à lire le résumé de la conférence (en anglais) sur ZDNet.