Apple reste opposée au sideloading et teste la sécurité des iPhone à Paris
- Medhi Naitmazi
- Il y a 1 an (Màj il y a 11 mois)
- 💬 3 coms
- 🔈 Écouter
Apple a fait de la sécurité et de la confidentialité son principal argument face à Android et Windows. Alors que la société est pressée de toute part pour ouvrir toujours plus iOS (au sideloading en l'occurence), un nouveau rapport de The Independent offre un aperçu intéressant de la raison et de la manière dont Apple "travaille dur pour pénétrer dans ses propres iPhones". Ivan Krstić, responsable de l'ingénierie et de l'architecture de sécurité chez Apple, a expliqué à nos confrère pourquoi Apple ressent le besoin d'investir si lourdement dans la sécurité, avant d'évoquer l'ouverture de l'iPhone aux boutiques d'applications tierces à cause de l'Union européenne.
EDIT : Officiel, Apple se conformera à l'Europe avec iOS 17.4.
Le chargement latéral n'est pas la panacée
L'un des arguments les plus courants en faveur du chargement latéral est que la grande majorité des utilisateurs d'iPhone choisiraient toujours d'utiliser l'App Store. Le chargement latéral serait simplement présenté comme un choix distinct pour ceux qui choisiraient d'en profiter. Krstić estime toutefois que le résultat pourrait produire l'effet inverse.
C'est un grand malentendu, que nous avons essayé d'expliquer à maintes reprises. La réalité de ce que permettent les exigences de distribution alternative est que les logiciels que les utilisateurs en Europe ont besoin d'utiliser - parfois des logiciels professionnels, d'autres fois des logiciels personnels, des logiciels sociaux, des choses qu'ils veulent utiliser - ne peuvent être disponibles qu'en dehors du magasin, distribués de manière alternative.
Dans ce type de scénario, où l'éditeur ne publierait une application que sur son propre site, l'utilisateur final n'aurait pas le choix d'utiliser l'App Store d'Apple, logiquement plus sécurisé.
Dans ce cas, ces utilisateurs n'ont pas le choix d'obtenir ce logiciel à partir d'un mécanisme de distribution en lequel ils ont confiance. Et donc, en fait, ce n'est tout simplement pas le cas que les utilisateurs conserveront le choix qu'ils ont aujourd'hui d'obtenir tous leurs logiciels à partir de l'App Store.
Craig Federighi, cadre d'Apple, s'est également prononcé avec véhémence contre le sideloading, qualifié ce système de "meilleur ami des cybercriminels". Lors d'une interview donnée à la WWDC 23 cette année, M. Federighi a toutefois reconnu qu'Apple n'avait pas d'autre choix que de se conformer à la réglementation européenne sur le chargement latéral et les boutiques d'applications tierces, la fameuse DMA. Rappelons qu'iMessage sera bientôt compatible avec le RCS en vertu de cette loi.
Une équipe de sécurité basée à Paris
Plus dans l'article de The Independent, Krstić évoque également les pratiques d'Apple et de l'industrie globale de la sécurité et du chiffrement. Il rappelle qu'Apple se heurte souvent aux gouvernements lorsqu'il s'agit de protéger les données des utilisateurs, et que la société est prête à tout pour empêcher des outils comme Pegasus de pénétrer les iPhone.
Nous ne nous considérons pas comme opposés aux gouvernements. Ce n'est pas l'objet de ce travail. Mais nous considérons que nous avons le devoir de défendre nos utilisateurs contre les menaces, qu'elles soient courantes ou, dans certains cas, vraiment graves.
Face à des menaces telles que Pegasus et à des tentatives de piratage par des acteurs étatiques, Apple n'a eu de cesse que de renforcer ses mesures de sécurité au fil des ans. En plus de boucher constamment des failles, la firme a introduit le mode verrouillageamode isolement et des avertissements aux cibles potentielles de piratage. Elle ainsi bloqué un hack de NSO récemment.
Si les logiciels constituent le domaine le plus évident des travaux d'Apple, une partie non négligeable d'entre eux concerne également le matériel.
Les travaux menés par une cellule dédiée d'Apple à Paris impliquent l'utilisation de différents types de technologies pour déjouer la sécurité des appareils. Ces tentatives comprennent l'utilisation de lasers et d'autres "capteurs finement réglés", en raison de la nécessité de rendre le matériel aussi sûr que possible avant sa mise sur le marché.
Il faut savoir que si les logiciels peuvent être mis à jour avec des correctifs de sécurité, les appareils traînent leurs défauts jusqu'à la fin, comme la checkm8 qui a conduit au jailbreak à vie de certains modèles jusqu'à l'iPhone X. Les tests visent à déterminer s'il existe des moyens par lesquels le matériel lui-même peut trahir la sécurité par inadvertance, et à éliminer ces faiblesses.
Les ingénieurs d'Apple à Paris sont décrits dans le rapport comme "peut-être les pirates informatiques les plus compétents et les mieux dotés en ressources" du monde en matière de matériel Apple. Nous avons d'ailleurs eu vent que l'antenne parisienne a récemment recruté un français spécialisé depuis 15 ans dans la sécurité logicielle. D'autres équipes du même genre existent à Cupertino et en Israel a-t-on appris.
Cela montre qu'Apple n'a jamais de répit, les hackers repoussant toujours les limites. Ivan Krstic estime que c'est le revers de la médaille quand on vend autant d'appareils :
Je pense que ce qui se passe, c'est qu'il y a de plus en plus de moyens d'attaque. Et cela est en partie dû au déploiement de plus en plus large de la technologie.
L'utilisation de plus en plus répandue de la technologie "crée davantage d'opportunités pour les pirates de se manifester, de développer une certaine expertise et de choisir un créneau qu'ils veulent attaquer", ajoute M. Krstic. Les violations de données ont explosé au cours de la dernière décennie, et le nombre d'attaques devrait plus que tripler d'ici 2030.
M. Krstic estime que "la nature de la lutte pour la sécurité est de continuer à pousser les défenses vers l'avant pour essayer de garder une longueur d'avance non seulement sur les attaques actuelles, mais aussi sur leur évolution".
Selon M. Krstic, l'investissement massif dans la sécurité se justifie pleinement. Tout d'abord, les attaques sophistiquées actuelles pourraient se propager et devenir plus largement disponibles. Il faut absolument comprendre ces menaces pour mettre en place des défenses contre les variantes ultérieures. De plus, le public visé est parfois dit "sensible" avec des journalistes, diplomates et autres personnes "importantes", ce qui peut aller jusqu'à déclencher une guerre.
Nous pensons que ces utilisateurs méritent une technologie fiable et sûre, et la possibilité de communiquer librement et en toute sécurité, comme tous nos autres utilisateurs.
Apple ne cède pas non plus devant les gouvernements, la société assurant toutefois ne pas être opposé à ces deniers.
Mais nous considérons que nous avons le devoir de défendre nos utilisateurs contre les menaces, qu'elles soient courantes ou, dans certains cas, vraiment graves.
Une ode à la sécurité que toutes les entreprises technologiques devraient relire attentivement.