Developpez.com

Le Club des Développeurs et IT Pro

iMessage : Apple pourrait lire vos messages

Le chiffrement de son application mis en cause par deux chercheurs

Le 2013-10-19 12:23:44, par Stéphane le calme, Chroniqueur Actualités
Apple avait affirmé que son application iMessage, qui permet aux utilisateurs de communiquer gratuitement par messages via WiFi, «est protégée par un chiffrement de bout en bout que personne, à part l’expéditeur et le destinataire peuvent voir ou lire », précisant que cela empêchait quiconque de prendre connaissance du contenu des dits messages, Apple compris.

Pourtant, deux hackers travaillant pour le compte de QuarksLab, une société de recherche en sécurité informatique (française) spécialisée dans les tests de pénétration et d'ingénierie inverse, ont étudié le fonctionnement du service iMessage et de sa sécurisation. « Ce que nous disons : Apple peut lire vos iMessages s’ils décident de le faire ou s’ils sont obligés de le faire par un ordre gouvernemental » ont-ils expliqué en précisant que « ce que nous ne disons pas : Apple lit vos iMessages. »

Faudrait-il arrêter de faire usage de iMessage ? Tout dépend de la position de l'utilisateur vis-à-vis de la notion de « vie privée » mais aussi des informations qu'il souhaite protéger . Comme Apple, Quarkslab se veut rassurant et explique que « les attaques de l'homme du milieu sur iMessage sont inaccessibles pour le hacker moyen et le niveau de confidentialité d'iMessage est suffisant pour l'usager lambda ».

Apple a expliqué pour sa part que « iMessage n'est pas conçu pour permettre à Apple de lire les messages. La réflexion discutée ici envisage des vulnérabilités théoriques qui exigeraient d'Apple de réorganiser le système d'iMessage pour les exploiter, et Apple n'a aucun projet en ce sens et n'a pas l'intention de le faire »

Source : Quarkslab , Apple (iMessage)

Et vous ?

Qu'en pensez-vous ?
  Discussion forum
18 commentaires
  • DelphiManiac
    Membre émérite
    Envoyé par sympasteve
    Je trouve ridicule toutes ces polémiques sur la confidentialité des données...

    Que Apple, Microsoft ou le gouvernement américain lisent mes textos ou e-mail, cela n'a aucune incidence sur ma vie personnel. Je suis une personne landa, mes activités sont des activités légales. Je leur souhaite bonne lecture.

    Cette peur est uniquement psychologique et cela se traduit par un énorme gaspillage de ressource. Tout ce temps et ces efforts se destine à réduire une menace qui ne fait aucune victime.
    Je trouve ridicule qu'au 21ième siècle, avec la facilité d'accès à l'information et le niveau d'éducation relativement élevé de la plupart des personnes, on puisse encore lire ce genre de remarques :/

    Un exemple de dérive romancé http://fr.wikipedia.org/wiki/Big_Brother, mais c'est vrai que cela n'arrive que dans les romans.

    Si tu veux piocher dans la "vraie vie", essaye de regarder le droit d'accès et de communication, le droit de pensée, des chinois et des syriens par exemple. Je suis sûr que parmi tous ces gens, ils y en avait plein qui n'avait rien à se reprocher.
    le 19/10/2013 à 14:33
  • Paul TOTH
    Expert éminent sénior
    Envoyé par sympasteve
    Je trouve ridicule toutes ces polémiques sur la confidentialité des données...

    Que Apple, Microsoft ou le gouvernement américain lisent mes textos ou e-mail, cela n'a aucune incidence sur ma vie personnel. Je suis une personne landa, mes activités sont des activités légales. Je leur souhaite bonne lecture.

    Cette peur est uniquement psychologique et cela se traduit par un énorme gaspillage de ressource. Tout ce temps et ces efforts se destine à réduire une menace qui ne fait aucune victime.
    j'en discutais dernièrement avec quelqu'un qui avait un avis intéressant...ce n'est pas normal que cela ne change pas mon quotidien ! Si toutes les conversations sont écoutées, il ne devrait plus y avoir de virus dans les mails, de spam, de phishing ou tout autre forme d’arnaque impunie bref tant qu'à faire de l'écoute, autant qu'elle nous soit profitable.
    le 19/10/2013 à 15:39
  • Marty69
    Nouveau membre du Club
    @sympasteve :

    On ne parle pas (ici ou dans toutes ces polémiques) de traquer les terroristes mais ta vie : ou tu es, ce que tu fais, ce que tu manges, ton age, potentiellement tes données bancaire, ton style de vie etc.......

    Je pourrais écrire tout un roman sur les conséquences directes et indirectes de cela.

    Etre une personne lambda qui n'a rien à te reprocher ne fais certes pas de toi une personne surveillée à proprement parler, mais sois bien sur que tu es loin d'être inintéressant pour certains ! Le problème c'est l'exploitation à outrance et sans être avertis des données personnelles qui, comme sous entend ce mot sont... personnelles ! Et le problème dans l'histoire c'est que petit à petit on tente de nous convaincre que cela est "normal" et que c'est pour notre sécurité et blablablabla... Dans l'histoire, le produit c'est toi (nous).

    Ne serais tu pas choqué que La Poste ouvre ton courrier et inspecte son contenu ?

    Et je ne parle même pas des dérives le jour ou, comme toi, plus personne ne sera choqué de nourrir des énormes bases de données, que internet sera filtré, qu'on te dira comment parler, manger, acheter...

    Je pousse le bouchon un peu loin ? moi je ne pense pas que ce soit de la science fiction.

    Alors même si des fois moi aussi je me dis que certains en font un peu trop, je reste content que ce garde fou existe encore et que les gouvernements, les multinationales et autres NSA voient bien que OUI ça nous importe et ça nous choque d'être épiés même si on a rien à se reprocher !
    le 19/10/2013 à 14:42
  • Jipété
    Expert éminent sénior
    Envoyé par Paul TOTH
    j'en discutais dernièrement avec quelqu'un qui avait un avis intéressant (...)
    Ah ben nan, puisque c'est secret comme observations !

    Si ces "surveillants" supprimaient toutes les cochonneries qui transitent, on se douterait vite qu'il y a un man in the middle du circuit !

    Alors qu'en ne touchant à rien et en laissant tout passer, "ils" peuvent toujours dire qu'ils ne regardent pas
    le 19/10/2013 à 20:16
  • Paul TOTH
    Expert éminent sénior
    Envoyé par kakashi99
    moi ce qui me fait le plus marrer, c'est que j'ai l'impression que les gens "découvrent" que les sociétés qui gèrent nos transactions numériques etc peuvent accéder à nos données... ça fait depuis des années qu'on est espionné (bien avant internet hein). certes c'est pas excusable pour autant

    la tout le monde cri au scandale, mais par contre quand Google implémente une fonctionnalité dans Gmail pour signaler qu'il n'y a pas de pièce jointe alors qu'on a écrit "ci-joint", la tout le monde cri au génie... d'après vous, comment ils arrivent à faire ça sans lire le mail ?
    euh l'exemple est mauvais, que le code JS de GMail t'indique que tu as tapé "ci-joint" pour t'inviter à mettre une pièce jointe n'a rien à avoir avec la consultation de tes mails par leur serveur afin de cibler la pub ou de déterminer ton profil politique, criminel, ou que sais-je encore.

    disons que si tu déclares que cet article est une véritable bombe et que le FBI débarque chez toi parce que tu es supposé être un terroriste ça devient gênant...
    le 21/10/2013 à 9:24
  • Tryph
    Membre émérite
    Envoyé par kakashi99
    en quoi c'est un mauvais exemple ?? ils peuvent lire ton mail (ils le font d'ailleurs), mais comme c'est pour te rendre service, c'est pas grave ?
    ce qu'il te dit, c'est que le code javascript qui te prévient que tu as oublié de mettre la pièce jointe dans ton mail s'exécute en local sur ton ordi et qu'aucun serveur n'intervient dans le processus et que, même si Google "lit" effectivement nos mails, ce n'est certainement pas la fonctionalité que tu décris qui en est responsable, ni même qui y participe. ton exemple est donc mauvais...

    d'ailleurs, Thunderbird me prévient aussi quand j'ai oublié de mettre une pièce jointe dans un mail avant même que je cherche à l'envoyer. et de toute façon, j'ai pas un seul serveur Google dans ma liste de serveurs SMTP.
    le 21/10/2013 à 11:19
  • azmar
    Membre averti
    Je ne trouve pas l'exemple de kakashi si "foireux" comme certains le disent.

    On est tous d'accord pour dire que c'est le JS qui lit en local le message, mais rien n’empêche d'avoir un mécanisme qui "signal" le message si celui-ci contient des mots clefs répertoriés.

    Certes ils peuvent accéder aux mails sur serveurs, mais le faire en locale peu permettre par exemple de ne pas faire traiter des milliards d'infos sur serveur.

    Azmar
    le 22/10/2013 à 9:54
  • Paul TOTH
    Expert éminent sénior
    Envoyé par Jipété
    Ah ben nan, puisque c'est secret comme observations !

    Si ces "surveillants" supprimaient toutes les cochonneries qui transitent, on se douterait vite qu'il y a un man in the middle du circuit !

    Alors qu'en ne touchant à rien et en laissant tout passer, "ils" peuvent toujours dire qu'ils ne regardent pas
    dit autrement, en réclamant se nettoyage on légitime l'écoute...et c'est là le piège
    le 19/10/2013 à 21:21
  • kakashi99
    Membre confirmé
    je dis juste qu'ils ont les moyens de le faire.

    le javascript qui vérifie ça pourrait très bien envoyer le contenu de ton mail à leur serveur.
    le 21/10/2013 à 11:28
  • Paul TOTH
    Expert éminent sénior
    Envoyé par kakashi99
    je dis juste qu'ils ont les moyens de le faire.

    le javascript qui vérifie ça pourrait très bien envoyer le contenu de ton mail à leur serveur.
    euh ça c'est ce qu'il se passe quand tu tapes sur "Envoyer"...je n'ai pas l'impression que tu maîtrises très bien ce qu'il se passe sur un WebMail
    le 21/10/2013 à 11:46
  Poster une réponse