Apple lance une procédure contre le groupe NSO, Réactions à la publication du 24/11/2021

[Lionel]

Vous avez certainement tous entendu parler du groupe NSO. Cette société est celle qui développe le logiciel Pegasus. Ce logiciel utilise des failles de sécurité iOS afin de débloquer des iPhone ou même d'espionner des utilisateurs iOS à leur insu. Il a souvent fait la une de l'actualité quand des personnalités politiques en vue, dont des dirigeants d'État, ont été espionnées grâce à lui.
En théorie, la société NSO commercialise ce logiciel uniquement à des forces de l'ordre dûment agréées mais ce qui est légitime et acceptable dans un pays ne l'est pas forcément dans un autre où les victimes peuvent être situées.
Voici ce qu'en dit Apple:
"Les appareils Apple sont le matériel grand public le plus sécurisé du marché, mais les entreprises privées qui développent des logiciels espions parrainés par l'État sont devenues encore plus dangereuses. Bien que ces menaces de cybersécurité n'affectent qu'un très petit nombre de nos clients, nous prenons toute attaque contre nos utilisateurs très au sérieux, et nous travaillons constamment à renforcer la sécurité et la protection de la confidentialité dans iOS pour assurer la sécurité de tous nos utilisateurs."

Vu ainsi, la poursuite semble totalement légitime et conforte la rhétorique d'Apple sur la sécurité de ses utilisateurs.
Toutefois, Pegasus n'existe que parce qu'il y a des failles de sécurité et on sait combien le programme d'Apple de rachat de ces failles est faillible avec des non paiements, des non reconnaissances des développeurs...
Bref, Apple dans cette position ne fait que défendre le fantasme commercial qu'elle vend au niveau publicité. On devrait plutôt dire qu'elle vendait car étrangement, on a infiniment moins de publicités à ce sujet depuis quelques semaines.
Il faut être réellement candide pour croire que l'on peut avoir un appareil connecté en permanence au réseau sans risquer de le voir corrompu à un moment ou un autre.
Maintenant, ce ne sont plus des pirates à la petite semaine qui cherchent des failles mais des groupes, étatiques ou pas, et dans tous les cas des ingénieurs très doués et très bien rémunérés, qui inlassablement cherchent toute faille permettant de contourner les protections mises en place.

Avec le jailbreak, Steve Jobs avait parlé d'un jeu de chat et de souris. Il en va de même au niveau de la sécurité globale et les souris ont toujours un coup d'avance.

Le vrai danger n'est pas de savoir que le système est faillible, mais bien de croire qu'il est infaillible.

Donc, quoi qu'en dise Apple, non vos données ne sont pas en totale sécurité sur votre appareil iOS. Elles le sont seulement autant que possible sur un smartphone avec lequel vous êtes en permanence connecté à des dizaines de services et, depuis peu, connecté même s'il est éteint.

Lien vers le billet original

[DOMY]

Je suis l'actualité au jour le jour ..... et je vois tous les jours des gens d'extrême droite, d'extrême gauche, des politiques de tous bords, des terroristes se faire " crever " malgré leur usage de messageries soit disant " cryptées ".

En fait, ça ne vaut plus grand chose ce truc ?

Ce message a été modifié par DOMY - 25 Nov 2021, 23:56.

[iAPX]

Je suis l'actualité au jour le jour ..... et je vois tous les jours des gens d'extrême droite, d'extrême gauche, des politiques de tous bords, des terroristes se faire " crever " malgré leur usage de messageries soit disant " cryptées ".

En fait, ça ne vaut plus grand chose ce truc ?

Pour moi ça protège beaucoup moins que ce qu'on pourrais penser, et surtout bien moins que ce qui est prétendu.

Un secret n'est plus un secret si quelqu'un d'autre le connait, et maintenant ça vaut pour les systèmes d'information.

[linus]

Je suis l'actualité au jour le jour ..... et je vois tous les jours des gens d'extrême droite, d'extrême gauche, des politiques de tous bords, des terroristes se faire "crever" malgré leur usage de messageries soit disant "cryptées".
En fait, ça ne vaut plus grand chose ce truc ?

Pour moi ça protège beaucoup moins que ce qu'on pourrais penser, et surtout bien moins que ce qui est prétendu.

Un secret n'est plus un secret si quelqu'un d'autre le connait, et maintenant ça vaut pour les systèmes d'information.

Je me permets de rappeler ce que j'avais dit ici il y a 2 ou 3 ans au sujet d'une conférence donnée par l'un des principaux experts français du développement d'algorithmes de cryptage. Quelqu'un dans la salle lui a demandé si son labo essayait de casser les cryptages des concurrents. Il a répondu à peu près, "A titre d'exercice on a monté une machine pour ça, les cryptages les plus robustes résistent entre 1/2h et quelques heures" Quand j'ai rapporté cela, je me suis fait insulter sur MacBidouille. iAPX était plus que dubitatif je crois. Je vois qu'il doute moi maintenant.

[iAPX]

Je suis l'actualité au jour le jour ..... et je vois tous les jours des gens d'extrême droite, d'extrême gauche, des politiques de tous bords, des terroristes se faire "crever" malgré leur usage de messageries soit disant "cryptées".
En fait, ça ne vaut plus grand chose ce truc ?

Pour moi ça protège beaucoup moins que ce qu'on pourrais penser, et surtout bien moins que ce qui est prétendu.

Un secret n'est plus un secret si quelqu'un d'autre le connait, et maintenant ça vaut pour les systèmes d'information.

Je me permets de rappeler ce que j'avais dit ici il y a 2 ou 3 ans au sujet d'une conférence donnée par l'un des principaux experts français du développement d'algorithmes de cryptage. Quelqu'un dans la salle lui a demandé si son labo essayait de casser les cryptages des concurrents. Il a répondu à peu près, "A titre d'exercice on a monté une machine pour ça, les cryptages les plus robustes résistent entre 1/2h et quelques heures" Quand j'ai rapporté cela, je me suis fait insulter sur MacBidouille. iAPX était plus que dubitatif je crois. Je vois qu'il doute moi maintenant.

Non, les chiffrages les plus robustes ne sont pas cassables autant qu'on sache (une affaire de limitation de taille de l'univers et de sa durée de vie): je ne parle pas de méthode de chiffrement, je parle d'implémentations, et dans ce que tu as cité du maillon le plus faible.

Ergo, voilà ma clé publique ( ~/.ssh/id_rsa.pub ):

Code

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDd2GOPn2pL2S4VWRhxriCx4mLMr33CXS6Y8AbtKd+TBntcWD61
m8h8agRZXFlVE3pEHpBZJzyFTCc/RCg7FaV2nv62SYja+9Ex2aMdYl5SYW2JIAhUmNHHvooYw11FwnxoZTZMkHYrs
di4PVJBtR3QbRUQ3cG/7XeeU+lkb4Rvza4f4ZXUF/Ym2M1IDMCvjDTB1hN2fih+z62PyfymbBrpmLDYD+WlVrbJu3V
1yPYML+g5WfeRnmUFHj2ta/Y/Rjs3P7FLUFKVmdRrYruSTPwokH3cgxfp96cYzQIvDld/A1Gt69mbLt9g8+75BWZOM
yDLcO3G20VHhg6X5WZgXdSx [email protected]

Revenez-moi avec ma clé privée
Comme c'est noël, j'offre une bouteille de Krug Clos du Mesnil de ma cave pour celui capable de me fournir ma clé privée (ou toute clé privée acceptée comme valable en regard à ma clé publique, donc déverrouillant l'accès à mes serveurs).

En résumé, on sait chiffrer fortement, sans avoir de risque connu (notez ce mot!) aujourd'hui (notez celui-ci aussi!).
En revanche, en général, les implémentations sont foireuses si pas truffées de backdoors, comme chez Microsoft, CISCO ou surtout Apple.
Microsoft ayant outre ses backdoors, fait d'immenses efforts pour affaiblir la sécurité des chiffrements proposés aux utilisateurs de Office, pour qu'ils soient cassables facilement.

Ce message a été modifié par iAPX - 28 Nov 2021, 00:43.