Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La demande du FBI auprès d'Apple constitue-t-elle une violation du système de confiance de l'iPhone ? Oui
Selon le PDG de la société américaine

Le , par Victor Vincent

21PARTAGES

1  0 
La demande qui a été faite à Apple, concernant une enquête consiste pour la société américaine à démonter le système de confiance utilisé depuis plus de 20 ans pour sécuriser Internet. C’est en tout cas l’avis du président-directeur général de la société. En effet, Tim Cook a déclaré que cette demande équivaut pour sa société à installer une porte dérobée sur le système d’exploitation de l’iPhone, ce qui mettrait hors-jeu le système de sécurité de ce dernier. Cette action du gouvernement américain qui exige de pouvoir utiliser des certificats Apple constitue un détournement et un piratage d’Internet et va bien au-delà du simple fait de décrypter un téléphone utilisé par un terroriste.

Un spécialiste des questions de sécurité s’exprimant sur la question rappelle tout d’abord que les certificats constituent le socle de la cybersécurité. Selon lui, si le gouvernement est autorisé à utiliser les certificats Apple, il contrôle le logiciel qui contrôle en grande partie l’accès aux logiciels, à Internet et aux applications. Il en prendra alors le contrôle et le détournera, ajoute-t-il. L’enjeu de la demande du FBI et le défi d’Apple ne se limitent pas à un seul téléphone chiffré utilisé par un terroriste, poursuit-il. Pour lui cela constitue une violation du système de confiance à base de certificats numériques sur lequel reposent les logiciels et Internet !

Le FBI souhaite que la société dirigée par Cook utilise un certificat Apple pour signer le logiciel qui s’exécutera ensuite, ce que l’agence fédérale américaine appelle le fichier logiciel signé de l’iPhone (« signed iPhone Software File »). Ces tactiques rappellent celles utilisées pour rendre Stuxnet si efficace, un logiciel malveillant signé à l’aide de certificats valides qui avait pu s’exécuter sans éveiller la méfiance. La requête du FBI risque de marquer un précédent, car elle porte, non sur le fait de casser le chiffrement, mais sur le fait de casser le logiciel, selon l’expert en sécurité. D’où la réponse de Tim Cook : « le gouvernement demande à Apple de pirater ses propres utilisateurs et de saper les avancées réalisées depuis plusieurs décennies dans le domaine de la sécurité pour assurer la protection de nos clients ».

La plus grosse avancée dans le cas présent est l’intérêt croissant que les cybercriminels portent au système de confiance créé par les certificats tels que nous le connaissons, et les attaques dont il fait l’objet, rappelle l’expert en sécurité. Les logiciels font tourner le monde et c’est le rôle des certificats TLS ou les signatures de code de distinguer ce qui est digne de confiance de ce qui ne l’est pas, de trier le bon grain de l’ivraie. Le logiciel signé par Apple ne deviendrait pas seulement une arme convoitée, ce serait également un prototype supplémentaire dans le manuel d’attaques des méchants, comme l’a été Stuxnet il y a 6 ans, ajoute-t-il. À une époque où certificats et clés suscitent de plus en plus l’intérêt des gouvernements et les convoitises de personnes mal intentionnées, il est d’autant plus important de connaître les certificats et clés auxquels l’on peut se fier, pour protéger ceux que l’on utilise, selon le spécialiste.

La réponse d’Apple au FBI contraste fortement avec un autre grand problème de sécurité qui a concerné tous les utilisateurs de smartphones et d’ordinateurs dans le monde. L’autorité de certification chinoise CNNIC, une entité du gouvernement chinois qui contrôle le « Grand Pare-feu de Chine » et surveille le cybercomportement des citoyens de l’Empire du Milieu, était jugée digne de confiance par l’ensemble des navigateurs, ordinateurs, smartphones et tablettes Microsoft, Apple et Google. Or, rappelle le spécialiste de sécurité, la CNNIC a été impliquée dans une tentative d’usurpation de Google en Égypte, un incident auquel Google et Mozilla ont réagi à l’époque en jetant le discrédit sur la CNNIC.

Face aux dizaines de milliards de dollars de chiffres d’affaires en jeu chaque trimestre sur le marché chinois, Apple et Microsoft n’ont pas bougé pendant des mois, remarque le spécialiste de la sécurité. Il souligne qu’Apple a discrètement choisi de faire confiance à certains certificats CNNIC, tandis que Microsoft a laissé faire. L’incident n’a pas reçu la même couverture médiatique que la requête du FBI. Malheureusement, dans le cas de la CNNIC et contrairement à aujourd’hui, Apple n’a pas réagi, se désole l’expert en sécurité. Il ajoute que l’absence de réaction de la société américaine a donné l’impression que la firme à la pomme faisait passer ses intérêts financiers chinois devant la sécurité et la confidentialité des données de tous les utilisateurs d’iPhone, d’iPad et de Mac à travers le monde. La réactivité d’Apple à la demande du FBI est un changement que le spécialiste trouve bienvenu et espère qu’à l’avenir, l’entreprise ferait de même en cas d’incidents impliquant les autorités chinoises par exemple.

Source : arstechnica.com

Et vous ?

Qu'en pensez-vous ?

Voir aussi

le forum Sécurité

Une erreur dans cette actualité ? Signalez-le nous !