Corellium pourra continuer à proposer des machines virtuelles iOS, Réactions à la publication du 09/05/2023

[Lionel]

En 2019, Apple a lancé des procédures judiciaires contre la société Corellium.
Cette société propose des machines virtuelles permettant l'émulation totale d'un appareil sous iOS.
Elle est très utilisée par des hackers et chercheurs pour dénicher des failles de sécurité ou des bugs au sein du système d'exploitation d'Apple.

Bien entendu, Apple n'a pas du tout bien vu qu'une société propose un tel outil et en fasse commerce. (Cela coûte selon les options choisies entre 99 et un peu moins de 300$).

Après 4 ans de batailles judiciaires, Apple vient d'être déboutée de sa demande. Les juges ont considéré que Corellium faisait un usage d'iOS conforme à la "doctrine de l'utilisation équitable".
Cette doctrine est incluse dans les lois sur les droits d'auteur et permet dans certaines circonstances de ne pas les appliquer. C'est le cas ici puisque l'émulation d'iOS n'est en aucun cas un usage concurrentiel à celui qu'en fait Apple et il est destiné à des causes que l'on peut qualifier de légitimes.
Les juges ont donc considéré que cet usage d'iOS favorise le progrès scientifique et ne nuit pas à Apple.

Apple va donc devoir se faire une raison sur le fait que nombre de spécialistes, bienveillants ou pas, vont traquer plus facilement les failles d'iOS.

Lien vers le billet original

[iAPX]

C'est très intéressant comme interprétation du Fair Use, ça va à l'encontre du mouvement observé depuis 25 ans avec le Digital Millenium Copyright Act qui avait énormément restreint celui-ci au grand dam de nombre d'entre nous.

La recherche en sécurité était comprise dans le Fair Use, mais dans les faits tout était fait pour dissuader si pas interdire cet usage.
Il y a eu différentes exemptions, en 2015, 2018 puis 2021, mais si celle de 2021 est étrangement large ça devrait être celle de 2018 qui s'applique, la procédure ayant débuté en 2019.

Ce jugement va permettre à aller de l'avant pour Corellium, mais je doute fort que tous les chercheurs soient de "bonne volonté", Apple étant de très mauvaise volonté pour payer décemment et créditer ceux-ci lorsqu'ils découvrent des failles.
Ça va peut-être pousser Apple à mieux interagir avec ces chercheurs, mais j'en doute fort, je m'attend à ce que Apple propose un service similaire mais plus limité, exposant moins les entrailles de iOS, et revenir à la charge puisque là ayant un service concurrent...

Une victoire à la Pyrrhus?

PS: une autre option pour Apple serait d'utiliser ses instructions propriétaires, en truffant le kernel et les drivers, rendant l'émulation hardware intenable sur une plateforme ARM server car les performances trop dégradées via une émulation logicielle. Émulation logicielle du jeu d'instruction propriétaire pouvant elle-même amener un autre procès!
Entre le mode modifiant le fonctionnement du Status Register (essentiellement Parité), les instructions AMX Apple, le changement de mode sur les transactions mémoire, et les lecture/écriture mémoires avec inversion d'endianness, il y a de quoi faire!

Ce message a été modifié par iAPX - 9 May 2023, 11:38.

[STRyk]

Il y a des chercheurs dans tout les domaines : même chez Pôle Emploi...


Avec ça, Apple va se voir montrer du doigt si ils ne comblent pas les failles.
Pour un soucis de "sécurité" ce qu'on nous rabache tout l'temps c'est bien mais encore faut il que ce ne soit pas au détriment d'autre chose.
Et là je me pose des questions...

Ce message a été modifié par STRyk - 9 May 2023, 13:28.

[Sethy]

Tout d'abord merci pour les précisions, c'était très intéressant.

Je me demande quand même si la décision aurait été la même il y a 5 ans. Je ne peux pas m'empêcher de penser que les lignes ont bougées. A tort peut-être. Ce qui n'est pas clair, mais dans l'article original de 9-to-5, ce sont les possibilités futures pour Apple. Peut-elle se pourvoir en appel ? SI oui, le fera-t-elle.

iAPX, tu parlais de victoire à la Pyrrhus, je me demande si ce n'est pas plutôt dans l'autre sens que cela pourrait jouer. C'est clair, les législateurs et les régulateurs du monde entier vont s'intéresser à ces problématiques. Qui, à part quelques pays qui sont en très bon termes avec Apple, qui va accepter qu'ailleurs la concurrence existe et pas sur son sol.

Toutes ces décisions qu'elles soient politiques, législatives, judiciaires ou qu'elles émanent de régulateur sont scrutées tant par les politiques que par les cabinets d'avocats dans le monde entier.

[iAPX]

...
iAPX, tu parlais de victoire à la Pyrrhus, je me demande si ce n'est pas plutôt dans l'autre sens que cela pourrait jouer. C'est clair, les législateurs et les régulateurs du monde entier vont s'intéresser à ces problématiques. Qui, à part quelques pays qui sont en très bon termes avec Apple, qui va accepter qu'ailleurs la concurrence existe et pas sur son sol.

Toutes ces décisions qu'elles soient politiques, législatives, judiciaires ou qu'elles émanent de régulateur sont scrutées tant par les politiques que par les cabinets d'avocats dans le monde entier.

Ça n'est pas de la concurrence, c'est d'ailleurs une des raisons qui a amené ce jugement, un des points à respecter si un autre acteur se trouvait dans la position de Corellium pour citer cette jurisprudence qui est énorme. Je n'avais pas abordé ce point, me restreignant au cas Apple vs. Corellium.

Maintenant, tout logiciel tournant sur une plateforme matérielle (et non Cloud) va pouvoir être proposé aux chercheurs en sécurité sous la forme d'une VM dans le cloud, si tant est qu'il n'y ai pas concurrence. Pas de concurrence, pas de service similaire existant offert par le propriétaire des droits, recherche en sécurité.

Je ne suis pas certain que les concepteurs de consoles, de CPU (!!!), de télé "intelligentes" (Roku en tête), d'IoT de tous poils, de systèmes automobiles embarqués, de systèmes d'avioniques, de système aéronautiques ou spatiaux, de routeurs et autres équipements réseaux, etc. soient vraiment emballés par l'idée que n'importe qui puissent légalement proposer leurs propres OS & Logiciels virtualisés dans le Cloud pour des recherches en sécurité incontrôlées, voire en les contraignant à devoir les fournir pour ce-faire...

Cette jurisprudence pourrait faire très mal, surtout pour ceux s'appuyant sur de la sécurité par obscurantisme (obscurité ).

Ce message a été modifié par iAPX - 9 May 2023, 23:42.