En moins d’un mois et tout près de la sortie d’iOS 10, Apple vient d’offrir un autre correctif de sécurité pour iOS 9 et l’aurait déployé une semaine plus tôt dans le Bêta 7 d’iOS 10.
Ce correctif, jugé critique, permet de corriger trois vulnérabilités importantes de l’iOS. Celles-ci ont été trouvées par Lookout et Citizen Lab, à la suite d’une demande de l’activiste Ahmed Mansoor. Ce qui rend ces vulnérabilités préoccupantes, c’est qu’elles ont été armées pour déposer des outils de surveillance sur les iPhone. Selon Lookout, c’est un ensemble d’outils sophistiqués qui auraient été développés par la firme NSO Group. Pour sa part, Apple a réagi avec diligence en rendant disponible une version corrigée en moins de dix jours après la découverte.
Le revers, c’est que ce correctif vient aussi contrer les techniques usuelles pour «jailbreaker» (débrider) les iPhone. Ce cas-ci est un sévère avertissement sur le développement d’outils de jailbreak, puisqu’ils sont maintenant utilisés à des fins hostiles. Nous pouvons aussi supposer que son développeur a récolté une somme importante, menant les futurs efforts hors de l’univers du jailbreak. Combiné avec les zones d’ombre des derniers outils de jailbreak, il est de moins en moins conseillé pour quiconque d’aller «flirter» avec un téléphone «jailbreaké». Plus préoccupant encore, puisque les mesures d’hygiène de sécurité sont peu efficaces contre ce type d’attaque, nous devenons tous susceptibles de nous faire installer des outils de surveillance. Comment pourrons-nous expliquer à nos parents que le seul fait de cliquer sur une URL, malgré de bonnes habitudes de sécurité, pourra permettre à une personne hostile de vider le contenu du téléphone sans autres formalités?
Cela rappelle aussi tout le brouhaha que le FBI a fait, plus tôt cette année, quant à l’obtention d’une clé universelle de déverrouillage. Une histoire qui s’est terminée par l’achat d’une vulnérabilité, à fort prix, pour forcer l’ouverture du iPhone. Bien heureusement, il y a eu suffisamment de contre-exemples depuis, pour démontrer la fragilité d’une telle mesure. En contrepartie, est-ce qu’Apple devrait envisager un jailbreak encadré, une forme de «mode développeur»?
Nous sommes sur un terrain peu balisé; souhaitons donc que les mesures nécessaires soient mises en place par Apple et le législateur afin de maintenir le fragile équilibre entre la protection de la vie privée et les besoins d’enquêtes.
Recevez quotidiennement les dernières nouvelles de l’univers Apple
Inscrivez-vous dès maintenant pour avoir accès aux dernières nouvelles et à des promotions exclusives!
Nicolas-Loïc Fortin
Commentaires