En 2016, Tim Cook accomplissait un geste fort en refusant d’aider le FBI à déchiffrer l’iPhone 5c du tueur de San Bernardino. Adversaire acharné des portes dérobées dans les smartphones, le patron d’Apple a toujours défendu la protection des données personnelles de ses utilisateurs avant la lutte contre le terrorisme.

Il ne perd également jamais une occasion de rappeler que le respect de la vie privée est l’une des valeurs fondamentales d’Apple héritées de Steve Job. Comme un mantra, Apple vante les vertus de son écosystème fermé, de son strict encadrement du suivi publicitaire, de son store d’applications qui serait plus rigoureux que les autres, de ses communications chiffrées, de sa Secure Enclave, qui protège ses appareils notamment vos données biométriques, etc.

Un sentiment de sécurité illusoire

« Le respect de votre vie privée n’est pas en option. L’iPhone est conçu pour protéger vos informations personnelles », clame le site officiel d’Apple.

Efforts réels et effets de manche ont permis à Apple de se forger une réputation rassurante et d’instiller un sentiment de sécurité auprès de ses utilisateurs. Au point de les convaincre qu’ils seraient protégés contre les virus. En tous cas beaucoup mieux que chez la concurrence.

Sauf que les révélations de cette semaine sur le Projet Pegasus montrent que de nombreux iPhone ont pu être infectés à distance par le logiciel espion israélien. Ce n’est pas totalement une surprise, puisque plusieurs cas d’intrusion avaient déjà été précédemment dévoilés. Mais le nombre de victimes concernées, comme la sophistication des attaques remettent sérieusement en cause l’image d’Apple. Il est temps de rappeler ses utilisateurs à la réalité. Les smartphones grand public sont tous vulnérables. Y compris les iPhone.

La Française Claude Mangin vient d’en faire l’amère expérience. Cette épouse d’un opposant marocain emprisonné a appris que ces deux iPhone avaient été piratés : un iPhone 11 et un 6S. Elle se savait suivie quand elle se rendait au Maroc. Mais depuis qu’elle avait été expulsée, elle se pensait en sécurité en France. Jamais elle n’aurait cru une telle surveillance possible depuis ses téléphones mobiles, a-t-elle confié au Washington Post. Hatice Cengiz, la fiancée de Jamal Khashoggi, se croyait elle aussi protégée avec son iPhone. Mais elle a également été piégée par Pegasus.

Pourquoi autant d’iPhone contaminés dans l’enquête ?

Sur les 67 smartphones examinés pour les besoins de cette enquête internationale, 37 ont montré des traces d’infection par Pegasus. Et sur ce total, 34 étaient des iPhone. 

Toutefois, les experts du Labo de sécurité d’Amnesty Tech ont tenu à nuancer cette sur-représentation d’Apple.

« Il est important de noter que cela ne reflète pas nécessairement la sécurité relative des appareils iOS par rapport aux appareils Android, ou à d’autres systèmes d’exploitation et fabricants de téléphones », peut-on lire dans le rapport.

Il a tout simplement été plus facile pour les enquêteurs de trouver des traces et de documenter des cas sur des iPhone que sur des smartphones Android dont les journaux de logs laissent à désirer.

En revanche, si des appareils ont été contaminés, ce n’est pas forcément parce que leur propriétaire utilisaient de vieux modèles ou avaient tardé à les mettre à jour. L’iPhone 12 est concerné. Et le Citizen Lab de l’Université de Toronto a déjà trouvé des preuves d’infection dans des appareils tournant sous iOS 14, une version déployée l’année dernière. 

Plusieurs types d’attaques

Entre 2016 et 2018, les liens malveillants envoyés par SMS étaient le moyen privilégié utilisé par Pegasus pour harponner ces cibles. Il y a eu ensuite les injections réseau. 01net.com en avait rendu compte il y a un an avec un cas concernant un journaliste marocain. Plus besoin de cliquer sur un lien corrompu. Il suffit que l’utilisateur se connecte sur un site non chiffré en HTTP pour être redirigé vers un site piégé avec un malware. Ce qui nécessite tout de même d’installer de fausses stations de base ou de requérir le concours de l’opérateur local. 

Enfin, à partir de 2019, ce sont les attaques zéro-click qui ont été privilégiées. Elles ne nécessitent plus aucune interaction avec le propriétaire du smartphone et risquent donc de passer encore plus inaperçues.
En décembre dernier, Citizen Lab avait révélé que 36 journalistes d’Al Jazeera avaient été piégés de la sorte par le biais du logiciel d’espionnage Pegasus, de NSO. Des vulnérabilités sont exploitées dans les applications iOS, principalement Messages, mais aussi Apple Music, Apple Photos, FaceTime ou encore le navigateur Safari.

Pour Apple, son iPhone reste l’appareil le plus sûr

Apple a tenté de défendre sa réputation dans les colonnes du Washington Post. La marque affirme que l’iPhone resterait « l’appareil mobile grand public le plus sûr et le plus sécurisé du marché », comme l’a déclaré son responsable ingénierie et architecture de sécurité Ivan Krstić.

Il minimise également l’ampleur des attaques. « Des attaques comme celles décrites sont très sophistiquées, coûtent des millions de dollars à développer, ont souvent une courte durée de vie et sont utilisées pour cibler des individus spécifiques ».

Apple assure enfin que son équipe dédiée à la sécurité a quadruplé ces dernières années. Mais ces moyens sont-ils suffisants ?

« Apple et Google (..) font néanmoins de leur mieux pour lutter contre ces technologies, mais c’est un combat inégal. En face, on a des entreprises milliardaires qui se consacrent à chercher des moyens de pénétrer par effraction dans les appareils. Et elles trouveront », a commenté Edward Snowden en début de semaine dans les colonnes de The Guardian. 

Si Apple corrige les nouvelles failles régulièrement mises à jour, cette lutte n’a pas de fin. Car chaque nouvelle fonctionnalité introduit une surface d’attaque supplémentaire.

Ce jeu de chat et la souris ne doit toutefois pas aboutir à ce que Matthew Green, cryptographe et professeur à la prestigieuse John Hopkins University, appelle le « nihilisme sécuritaire », dans un post de blog. 
A ses yeux, et il est difficile de ne pas lui donner raison, les géants du Web, et Apple en particulier, en l’occurrence, doivent muscler leurs réponses.

« Dans le monde dans lequel je vis, j’espère que Ivan Krstić se réveillera demain et dira à ses supérieurs qu’il veut faire en sorte que NSO fasse faillite. Et j’espère que ses patrons répondront : “génial. Voici un chèque en blanc.” Peut-être qu’ils réussiront et peut-être qu’ils échoueront, mais je pourrais parier qu’ils pourront au moins donner du fil à retordre à NSO.», écrit-il. 

Est-ce un voeu pieux ? Est-ce irréaliste ? Matthew Green n’est pas dupe et en appelle à la responsabilité d’Apple. Il va même plus loin et affirme que les utilisateurs doivent peser de tout leur poids pour inciter Apple à changer, à renforcer sa sécurité, à se saisir de ce combat : 

« Apple ne fera rien de tout cela s’ils n’ont pas à le faire, et ils ne penseront pas qu’ils le doivent si les utilisateurs ne l’exigent pas avec force. Seul Apple peut réparer les appareils Apple, et cela implique qu’Apple doit se sentir responsable chaque fois qu’une victime innocente se fait hacker un appareil Apple. »

Le problème est que la société entretient des relations compliquées avec la communauté des experts en sécurité. Elle a tardé à créer un programme bug bounty qui n’a vu le jour qu’en 2016 pour rémunérer des chercheurs indépendants pour trouver des bugs. Et la société continue de se montrer pingre sur les montants, lente à la détente et très sélective sur les chercheurs à qui elle confie des iPhone. Ce qui ne motive pas les troupes. Cette affaire d’espionnage l’amènera peut-être à changer de stratégie. Il en va de l’intérêt d’Apple, et de tous ses utilisateurs, cibles potentielles d’outils d’espionnage qui foulent au pied nos libertés essentielles, sans l’ombre d’un remord.

Comme le dit Matthew Green :

« Si nous nous contentons d’une petite tape sur la tête d’Apple en disant “Mes pauvres, les attaques ciblées sont dures, ce n’est pas de votre faute”, alors c’est exactement le niveau de sécurité que nous pourrons nous attendre à avoir – et nous l’aurons mérité », conclut-il, à raison.

N’en déplaise à Ivan Krstić, nous ne pouvons pas nous contenter de ses rassurantes paroles. Comme la vie privée, la sécurité est un droit essentiel, et c’est à nous d’exiger qu’Apple soit à la hauteur de ce qu’il nous doit.

Sources : Amnesty International, The Washington Post, Le Monde, The Guardian, Matthew Green