Apple lance une procédure contre le groupe NSO, Réactions à la publication du 24/11/2021

[Lionel]

Vous avez certainement tous entendu parler du groupe NSO. Cette société est celle qui développe le logiciel Pegasus. Ce logiciel utilise des failles de sécurité iOS afin de débloquer des iPhone ou même d'espionner des utilisateurs iOS à leur insu. Il a souvent fait la une de l'actualité quand des personnalités politiques en vue, dont des dirigeants d'État, ont été espionnées grâce à lui.
En théorie, la société NSO commercialise ce logiciel uniquement à des forces de l'ordre dûment agréées mais ce qui est légitime et acceptable dans un pays ne l'est pas forcément dans un autre où les victimes peuvent être situées.
Voici ce qu'en dit Apple:
"Les appareils Apple sont le matériel grand public le plus sécurisé du marché, mais les entreprises privées qui développent des logiciels espions parrainés par l'État sont devenues encore plus dangereuses. Bien que ces menaces de cybersécurité n'affectent qu'un très petit nombre de nos clients, nous prenons toute attaque contre nos utilisateurs très au sérieux, et nous travaillons constamment à renforcer la sécurité et la protection de la confidentialité dans iOS pour assurer la sécurité de tous nos utilisateurs."

Vu ainsi, la poursuite semble totalement légitime et conforte la rhétorique d'Apple sur la sécurité de ses utilisateurs.
Toutefois, Pegasus n'existe que parce qu'il y a des failles de sécurité et on sait combien le programme d'Apple de rachat de ces failles est faillible avec des non paiements, des non reconnaissances des développeurs...
Bref, Apple dans cette position ne fait que défendre le fantasme commercial qu'elle vend au niveau publicité. On devrait plutôt dire qu'elle vendait car étrangement, on a infiniment moins de publicités à ce sujet depuis quelques semaines.
Il faut être réellement candide pour croire que l'on peut avoir un appareil connecté en permanence au réseau sans risquer de le voir corrompu à un moment ou un autre.
Maintenant, ce ne sont plus des pirates à la petite semaine qui cherchent des failles mais des groupes, étatiques ou pas, et dans tous les cas des ingénieurs très doués et très bien rémunérés, qui inlassablement cherchent toute faille permettant de contourner les protections mises en place.

Avec le jailbreak, Steve Jobs avait parlé d'un jeu de chat et de souris. Il en va de même au niveau de la sécurité globale et les souris ont toujours un coup d'avance.

Le vrai danger n'est pas de savoir que le système est faillible, mais bien de croire qu'il est infaillible.

Donc, quoi qu'en dise Apple, non vos données ne sont pas en totale sécurité sur votre appareil iOS. Elles le sont seulement autant que possible sur un smartphone avec lequel vous êtes en permanence connecté à des dizaines de services et, depuis peu, connecté même s'il est éteint.

Lien vers le billet original

[Lionel]

On peut localiser un iPhone même éteint. Donc il ne l’est pas totalement.

Fichier(s) joint(s)

 7C2ADD91_AC04_4B5F_9DC3_993DFFD4C8EA.jpeg ( 145.42 Ko ) Nombre de téléchargements : 110

 

[iAPX]

On peut localiser un iPhone même éteint. Donc il ne l’est pas totalement.

Exactement, c'est aussi le cas de nos Mac qui communiquent en Bluetooth même quand "éteints" et Bluetooth "désactivé".

C'est un changement énorme apparu pour rendre plus efficace les capacités de suivi géographique de "Find my ...", en utilisant le maillage incroyable créé par tous les appareils Apple.

Pour ma part, je veux "Find my..." pour pouvoir nettoyer à distance (effacement instantané de clé de chiffrement en fait), mais certainement pas que mes appareils soient suivis quand je les utilise (ou pas) et in-fine être tracé par Apple 24/7.
Je n'irais certainement pas chercher un appareil volé, c'est une idée absolument imbécile, ne faites jamais ça!

Pour NSO, il y a possibilité de les faire condamner, mais il y a d'autres sociétés occupant le créneau, et les failles employées sont du fait de Apple et de personne d'autres.
Apple ferait mieux de ne plus créer de backdoors sachant qu'elles seront quasi-systématiquement utilisées contre ses clients par des acteurs malveillants, à commencer par des états totalitaires (Arabie Saoudite, Maroc, etc.).
Apple devrait aussi être condamné à ne plus créer ces problèmes, récurrents, dans le système de iMessage, et permettant à chaque fois l'exécution de code local à distance avec les privilèges maximaux et sans interaction utilisateur (ni indication, encore moins de nécessiter d'action de sa part).

Ce message a été modifié par iAPX - 24 Nov 2021, 13:31.

[downanotch]

mais certainement pas que mes appareils soient suivis quand je les utilise (ou pas) et in-fine être tracé par Apple 24/7.

"Le réseau Localiser utilise le chiffrement de bout en bout afin qu’Apple ne puisse voir la position d’aucun appareil hors ligne ni d’aucun appareil transmettant la position."

[iAPX]

mais certainement pas que mes appareils soient suivis quand je les utilise (ou pas) et in-fine être tracé par Apple 24/7.

"Le réseau Localiser utilise le chiffrement de bout en bout afin qu’Apple ne puisse voir la position d’aucun appareil hors ligne ni d’aucun appareil transmettant la position."

Ça n'a strictement aucun sens comme de plus en plus souvent lorsqu'on utilise l'expression "chiffrement de bout en bout" (end-to-end encryption).

Preuve en est que le site web de Apple peut afficher la position des appareils.
À partir de là, la notion de "chiffrement de bout en bout" est totalement rebattue, et que donc tout acteur capable faire du MITM en https comme la NSA (au hasard) a alors la possibilité d'accéder à cette information à tout moment. Apple aussi.

Encore une expression qui a été abusée voire corrompue.
Il faut toujours se demander qui génère ou a accès aux clés et en quelles circonstances, et dans le cas d'Apple il y a un beau mensonge par omission...

Ce message a été modifié par iAPX - 24 Nov 2021, 19:21.

[downanotch]

Ça n'a strictement aucun sens comme de plus en plus souvent lorsqu'on utilise l'expression "chiffrement de bout en bout" (end-to-end encryption).

Preuve en est que le site web de Apple peut afficher la position des appareils.

Ça c'est uniquement si tu utilises iCloud.com pour localiser ton appareil. C'est réellement chiffré de bout en bout par contre quand on utilise l'application "Find My".

[chevy]

Ça n'a strictement aucun sens comme de plus en plus souvent lorsqu'on utilise l'expression "chiffrement de bout en bout" (end-to-end encryption).

Preuve en est que le site web de Apple peut afficher la position des appareils.

Ça c'est uniquement si tu utilises iCloud.com pour localiser ton appareil. C'est réellement chiffré de bout en bout par contre quand on utilise l'application "Find My".

Apple fusionne des données de plusieurs sources pour localiser un appareil. Un AirTag par exemple ne communique pas directement avec le WiFi ou avec un autre réseau. Il ne sait d'ailleurs pas où il est. Il émet juste un signal spécifique qui est entendu par les appareils iOS qui sont à proximité et eux remontent cette information à Apple avec leur propre géolocalisation. Il écoute aussi les appareils à proximité et eux peuvent lui demander d'émettre un son ou lui fournir un fichier pour une mise à jour firmware.

Les données sont chiffrées de bout en bout, mais comme Apple est à un bout, elle a accès à ce qui lui est fourni dans la mesure où on lui fourni les clés. Elle a aussi la possibilité (mais le fait-elle ?) d'ajouter des canaux supplémentaires qui passeraient d'autres informations entre le téléphone et Apple, ce n'est pas vérifiable par l'utilisateur lambda.

Le seul moyen d'avoir un système de communication sûr repose sur deux conditions: (1) le développer et le fabriquer soit-même, (2) avoir les connaissances nécessaires et à jour pour sécuriser ce système. Je n'en ai pas les moyens... donc je fais avec ce qui existe et je sais que c'est imparfait. Comme beaucoup de choses dans la vie.

Concernant Apple, c'est aussi une société imparfaite, mais j'apprécie la direction qu'elle prend et qu'elle donne au marché concernant le respect des informations personnelles.

[downanotch]

Les données sont chiffrées de bout en bout, mais comme Apple est à un bout, elle a accès à ce qui lui est fourni dans la mesure où on lui fourni les clés.

En utilisant l'application Find My pour localiser un appareil, il n'est pas nécessaire de fournir les clés à Apple.

[iAPX]

Les données sont chiffrées de bout en bout, mais comme Apple est à un bout, elle a accès à ce qui lui est fourni dans la mesure où on lui fourni les clés.

En utilisant l'application Find My pour localiser un appareil, il n'est pas nécessaire de fournir les clés à Apple.

Si.

En fait tout usage de iCloud, nécessitant de fournir son mot-de-passe à Apple, via une App Apple et des requêtes d'API ou via le Web, permet à Apple d'avoir accès aux clés mais aussi à tout attaquant pouvant monter une attaque MITM de niveau gouvernemental.
La clé n'est pas stockée dans l'appareil, mais stockée chiffrée (encore lui!) du coté de Apple, expliquant qu'on ai accès à ces mêmes fonctionnalités depuis un autre appareil Apple en rentrant ses identifiants+mot-de-passe iCloud.

Donc on arrête les conneries, Apple a accès aux clés, peut les transmettre à toute agence en faisant la demande, ainsi que tout attaquant capable de monter un MITM https.
Comme l'a démontré l'affaire ProtonMail, personne n'est à l'abri, et surtout pas avec des systèmes et sociétés nous le promettant

Ce message a été modifié par iAPX - 25 Nov 2021, 18:57.

[Fars]

Comme l'a démontré l'affaire ProtonMail, personne n'est à l'abri, et surtout pas avec des systèmes et sociétés nous le promettant

Salut IAPX, c'etait quoi l'affaire Protomail?