Un expert en sécurité découvre des backdoors dans iOS
Pour Apple il s'agit d'outils de diagnostics

Le , par Hinault Romaric, Responsable .NET
Des analyses et recherches, effectuées par l’expert en sécurité Jonathan Zdziarski, ont montré la présence de certains outils de surveillance dans des produits d’Apple, qui seraient exploités à des fins d’espionnage.

Le chercheur avait publié en mars un article sur le sujet, et a fait une présentation récemment sur ses conclusions lors de la conférence « the Hackers On Planet Earth (HOPE X) » à New York. Pour l’expert, ça ne fait aucun doute : iOS dispose de backdoors qui auraient été intégrés par Apple. 600 millions de terminaux iOS seraient affectés.

D’après Zdziarski, certains services embarqués dans iOS, dont « lockdownd », « pcapd » et « mobile.file_relay », recueillent les données personnelles des utilisateurs sans leur consentement. Ces données comprennent une copie des photos stockées, la base de données de la messagerie vocale, les fichiers audio, tous les comptes configurés sur le périphérique (iCloud, Facebook, Twitter, etc), un cache des captures d'écran, les données GPS, etc. Bref, toutes les données recueillies par les applications embarquées par défaut avec iOS sont concernées.

Zdziarski note également l’existence d’un processus « com.apple.pcapd » qui s’exécuterait en arrière-plan et qui aurait pour mission d’espionner le trafic réseau et les requêtes HTTP d’un dispositif sous iOS. Le service en question aurait été activement mis à jour.

Tous les services mentionnés par Zdziarski auraient été cachés au public, car Apple n’aurait jamais notifié cela dans la documentation de ses services.

Zdziarski ne remet pas en question la sécurité des iDevices, qui serait suffisante pour contrer des attaques, sauf venant d’Apple. « L’iPhone 5 et iOS 7 sont assez bien protégés des pirates, sauf d’Apple et du gouvernement », a-t-il affirmé.

Alors que les révélations sur l’espionnage à grande échelle de la NSA continuent à faire couler beaucoup d’encre, le rapprochement a été rapidement fait avec l’agence de sécurité américaine.

Suite aux analyses de Zdziarski, Apple a reconnu l’existence de ces services, mais a cependant démenti une utilisation à des fins d’espionnage. Pour la firme, il s’agit d’outils de diagnostics. « Nous avons conçu iOS de façon à ce que les fonctions de diagnostics ne compromettent pas la sécurité et la confidentialité des données de l’utilisateur, mais puissent au contraire fournir les informations nécessaires aux départements IT des entreprises, aux développeurs, ainsi qu’à Apple pour la résolution des problèmes techniques », a expliqué la société.

Une réponse qui n’a pas, cependant, convaincu Zdziarski, vu la teneur des données transmises sur les serveurs d’Apple, et le fait que l’utilisateur soit incapable de désactiver ces services. Pour lui, par cette réponse, Apple vient « incidemment d’admettre que, dans le sens classique du terme, des portes dérobées existent sur iOS. »

Source : billet de blog de Jonathan Zdziarski

Et vous ?

Que pensez-vous de la réponse d’Apple et des conclusions de Zdziarski ?

Fait en collaboration avec Emily Prevost


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de valkirys valkirys - Membre expérimenté http://www.developpez.com
le 22/07/2014 à 20:44
Citation Envoyé par Hinault Romaric  Voir le message
...

C'est pas une surprise, mais j'aimerais bien savoir si il y a transmission avec le wifi coupé par l'utilisateur par exemple.
C'est pareil sous Android les apps transmettent plein de truc en continu...
Avatar de Chauve souris Chauve souris - Membre chevronné http://www.developpez.com
le 22/07/2014 à 20:49
Acheter un "truc" ricain de communication sans s'imaginer qu'il y a la NSA derrière serait d'une naïveté pire que bisounoursienne. Mais j'entends déjà arriver le chœur de ceux "qui n'ont rien à cacher" (qui devraient donc se déculotter, après tout, c'est l'été, pas comme dans mon patelin) . Une autre catégorie va se chamailler sur le "libre" qui serait à l'abri, ce qui est loin d'être sûr (on l'a vu avec le noyau Linux). La solution la plus pragmatique est d'utiliser sans vergogne ces services ricains et d'encoder à mort ce qu'on y fait passer même si c'est un SMS à la belle-doche. Comme ça, à défaut de décoder, la NSA stockera les méta-datas jusqu'au moment où ils auront toute la planète en méta-datas ce qui leur fera une belle jambe galbée (et des disques durs saturés)
Avatar de Vinorcola Vinorcola - Membre régulier http://www.developpez.com
le 22/07/2014 à 21:06
Citation Envoyé par Chauve souris  Voir le message
ce qui est loin d'être sûr (on l'a vu avec le noyau Linux).

?????? ????
Avatar de Mc geek Mc geek - Membre régulier http://www.developpez.com
le 22/07/2014 à 21:30
Erreur ! Linus Torvalds a dit qu'il a été approché par la NSA‚ il n'a pas accepté de l'introduire.
Avatar de Mishulyna Mishulyna - Traductrice http://www.developpez.com
le 22/07/2014 à 21:42
Citation Envoyé par Chauve souris  Voir le message
le "libre" qui serait à l'abri, ce qui est loin d'être sûr (on l'a vu avec le noyau Linux).

Linux : il y aurait eu une tentative d’intégration d’un backdoor dans le noyau en 2003
Avatar de Mc geek Mc geek - Membre régulier http://www.developpez.com
le 22/07/2014 à 22:14
Autant pour moi, je ne connaissais pas cette histoire. Je savais juste que la NSA avait approché linus torvalds pour insérer un bout de code. Au moins je me coucherais moins bête ce soir !
Avatar de pierre-y pierre-y - Membre actif http://www.developpez.com
le 23/07/2014 à 7:07
Excusez moi d'être grossier, mais la sainte Europe, elle compte se bouger le cul bientôt sur ça? On en est à combien d'affaire de se type? On a pas spécialement brillé sur la question du droit d'asile de Snwoden..
Avatar de HardBlues HardBlues - Membre actif http://www.developpez.com
le 23/07/2014 à 8:17
Excusez moi d'être grossier, mais la sainte Europe, elle compte se bouger le cul bientôt sur ça? On en est à combien d'affaire de se type? On a pas spécialement brillé sur la question du droit d'asile de Snwoden..

On est bien d'accord L'arrogance des USA n'a d'égal que le manque de courage de l’Europe...
le "libre" qui serait à l'abri, ce qui est loin d'être sûr (on l'a vu avec le noyau Linux).

Il y a quand même une grosse différence entre un produit fournit librement et que des états essayent de pirater et une entreprise commerciale qui espionne ses clients que ce soit pour son compte ou pour celui d'agence de renseignements.
Avatar de Jon Shannow Jon Shannow - Membre expert http://www.developpez.com
le 23/07/2014 à 9:30
Citation Envoyé par Chauve souris  Voir le message
sur le "libre" qui serait à l'abri, ce qui est loin d'être sûr

Sachant que iOS est sur une base Linux ...

Citation Envoyé par pierre-y  Voir le message
Excusez moi d'être grossier, mais la sainte Europe, elle compte se bouger le cul bientôt sur ça? On en est à combien d'affaire de se type? On a pas spécialement brillé sur la question du droit d'asile de Snwoden..

Le temps que l'Europe ne sera qu'un conglomérat politique sans tête, il ne faut pas s'attendre à grand-chose.
Quant à Snowden, c'est vrai qu'on aurait du l’accueillir et le remettre illico-presto aux mains des USA pour qu'il soit juger comme le traitre qu'il est.
Avatar de HelpmeMM HelpmeMM - Membre éprouvé http://www.developpez.com
le 23/07/2014 à 9:44
Pour la firme, il s’agit d’outils de diagnostics


Ah ah ah , à par les gogos je me demande bien qui peut y croire ? a moins que les photos sa servent à faire des diag sur leurs machines ...

Quoi qu'il en soit sa reste du même acabit que facebook et son étude comportementale.

Comme on dit Business is Business , faut pas croire hein si les grande société sont près a frauder fiscalement des milliard faut pas croire qu'ils ne sont pas capables dallez plus loin sur l'espionnage massif de leur clients.

Ces sociétés sont prêtes à tout pour faire du fric.No limit
Offres d'emploi IT
CDI - Responsable Développement IT
PhotoBox - Ile de France - Paris (75010)
Startup ambitieuse recrute son CTO
INVEX - Ile de France - Paris (75002)
Dévloppeur java confirmé
Coezion - Ile de France - Paris (75015)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil