Apple lance une procédure contre le groupe NSO, Réactions à la publication du 24/11/2021

[Lionel]

Vous avez certainement tous entendu parler du groupe NSO. Cette société est celle qui développe le logiciel Pegasus. Ce logiciel utilise des failles de sécurité iOS afin de débloquer des iPhone ou même d'espionner des utilisateurs iOS à leur insu. Il a souvent fait la une de l'actualité quand des personnalités politiques en vue, dont des dirigeants d'État, ont été espionnées grâce à lui.
En théorie, la société NSO commercialise ce logiciel uniquement à des forces de l'ordre dûment agréées mais ce qui est légitime et acceptable dans un pays ne l'est pas forcément dans un autre où les victimes peuvent être situées.
Voici ce qu'en dit Apple:
"Les appareils Apple sont le matériel grand public le plus sécurisé du marché, mais les entreprises privées qui développent des logiciels espions parrainés par l'État sont devenues encore plus dangereuses. Bien que ces menaces de cybersécurité n'affectent qu'un très petit nombre de nos clients, nous prenons toute attaque contre nos utilisateurs très au sérieux, et nous travaillons constamment à renforcer la sécurité et la protection de la confidentialité dans iOS pour assurer la sécurité de tous nos utilisateurs."

Vu ainsi, la poursuite semble totalement légitime et conforte la rhétorique d'Apple sur la sécurité de ses utilisateurs.
Toutefois, Pegasus n'existe que parce qu'il y a des failles de sécurité et on sait combien le programme d'Apple de rachat de ces failles est faillible avec des non paiements, des non reconnaissances des développeurs...
Bref, Apple dans cette position ne fait que défendre le fantasme commercial qu'elle vend au niveau publicité. On devrait plutôt dire qu'elle vendait car étrangement, on a infiniment moins de publicités à ce sujet depuis quelques semaines.
Il faut être réellement candide pour croire que l'on peut avoir un appareil connecté en permanence au réseau sans risquer de le voir corrompu à un moment ou un autre.
Maintenant, ce ne sont plus des pirates à la petite semaine qui cherchent des failles mais des groupes, étatiques ou pas, et dans tous les cas des ingénieurs très doués et très bien rémunérés, qui inlassablement cherchent toute faille permettant de contourner les protections mises en place.

Avec le jailbreak, Steve Jobs avait parlé d'un jeu de chat et de souris. Il en va de même au niveau de la sécurité globale et les souris ont toujours un coup d'avance.

Le vrai danger n'est pas de savoir que le système est faillible, mais bien de croire qu'il est infaillible.

Donc, quoi qu'en dise Apple, non vos données ne sont pas en totale sécurité sur votre appareil iOS. Elles le sont seulement autant que possible sur un smartphone avec lequel vous êtes en permanence connecté à des dizaines de services et, depuis peu, connecté même s'il est éteint.

Lien vers le billet original

[vlady]

J'ai l'impression qu'Apple n'a jamais prétendu avoir un "vrai" chiffrement end-to-end. Tout le monde le sait, en tout cas, moi, je le sais. Pourquoi ? Toujours la même raison, la convenance. Apple est capable de "restaurer" l'accès aux données si madame Michu a pommé son mot de passe. Et ce n'est pas un défaut, c'est une feature.

[downanotch]

J'ai l'impression qu'Apple n'a jamais prétendu avoir un "vrai" chiffrement end-to-end. Tout le monde le sait, en tout cas, moi, je le sais. Pourquoi ? Toujours la même raison, la convenance. Apple est capable de "restaurer" l'accès aux données si madame Michu a pommé son mot de passe. Et ce n'est pas un défaut, c'est une feature.

Ben justement non, ce qui end-to-end n'est PAS récupérable :

Si vous oubliez votre mot de passe ou le code d’accès de votre appareil, le service de récupération de données iCloud peut vous aider à déchiffrer vos données afin que vous puissiez regagner l’accès à vos photos, notes, documents, sauvegardes d’appareils, etc. En revanche, ce service ne vous permet pas d’accéder aux types de données qui sont protégés par le chiffrement de bout en bout, comme les données de votre trousseau, de l’app Santé, de l’app Messages et de l’app Temps d’écran. Les codes d’accès de vos appareils, que vous seul connaissez, sont requis pour déchiffrer et accéder à ces données. Vous seul pouvez accéder à ces informations, et uniquement à partir des appareils sur lesquels vous êtes connecté à iCloud.

https://support.apple.com/fr-fr/HT202303

Ce message a été modifié par downanotch - 29 Nov 2021, 08:40.

[chombier]

J'ai l'impression qu'Apple n'a jamais prétendu avoir un "vrai" chiffrement end-to-end. Tout le monde le sait, en tout cas, moi, je le sais. Pourquoi ? Toujours la même raison, la convenance. Apple est capable de "restaurer" l'accès aux données si madame Michu a pommé son mot de passe. Et ce n'est pas un défaut, c'est une feature.

Ben justement non, ce qui end-to-end n'est PAS récupérable :

Si vous oubliez votre mot de passe ou le code d’accès de votre appareil, le service de récupération de données iCloud peut vous aider à déchiffrer vos données afin que vous puissiez regagner l’accès à vos photos, notes, documents, sauvegardes d’appareils, etc. En revanche, ce service ne vous permet pas d’accéder aux types de données qui sont protégés par le chiffrement de bout en bout, comme les données de votre trousseau, de l’app Santé, de l’app Messages et de l’app Temps d’écran. Les codes d’accès de vos appareils, que vous seul ET APPLE connaissez, sont requis pour déchiffrer et accéder à ces données. Vous seul ET APPLE pouvez accéder à ces informations, et uniquement à partir des appareils sur lesquels vous êtes connecté à iCloud.

https://support.apple.com/fr-fr/HT202303

Apple peut mettre à jour n'importe quel firmware dans ses iPhones, mais ne peut pas accéder aux clés ?
Mais pas d'inquiétude, le cas échéant, Apple promet de ne pas s'en servir...

Ce message a été modifié par baron - 2 Dec 2021, 00:49.

Raison de l'édition : Les ajouts dans la citation ont été mis en bleu