L’IPhone le smartphone le plus vulnérable face au logiciel espion Pegasus : Apple réagit
DIA-21 juillet 2021: Après les révélations du Projet Pegasus, une enquête menée par Forbidden Stories, un projet à but non lucratif, et seize médias, nous avons appris qu’aucun smartphone n’était infaillible, y compris les derniers iPhone équipés de la dernière version publique du logiciel d’Apple.
Apple n’a pas tardé à réagir ; il faut dire que la marque américaine a fait de la protection des données personnelles de ses utilisateurs un sacerdoce.
Plusieurs études ont montré que c’est cette orientation « vie privée » d’Apple qui a affaibli les autres marques de smartphones. Elle avait réussit à « tuer » commercialement le canadien BlackBerry après une affaire de fuite de données sensible du président Obama.
Le message d’Apple depuis le début de l’année 2019 est le suivant : « Ce qui se passe sur votre iPhone reste sur votre iPhone ». S’en sont suivies plusieurs campagnes, à la TV, en affichage abribus, mais aussi sur internet, en particulier lors des keynotes d’Apple. La question sur la protection de nos données est devenue progressivement un critère dans l’acte d’achat des consommateurs. Apple a donc tout misé sur la vie privée et assure que « ce qui est privé devrait rester privé ».
Les révélations de Projet Pegasus ont montré que le logiciel espion NSO Pegasus pouvait être déployé sur un iPhone 12 Pro Max exécutant iOS 14.6 (la dernière version publique du système d’exploitation). Cet iPhone avait été piraté via une faille zero-day zero-click sur iMessage. Cela signifie que la faille de sécurité n’a toujours pas été corrigée et que ce malware peut infecter un iPhone sans aucune action de la part des utilisateurs ciblés.
Depuis iOS 14, Apple utilise une technologie appelée BlastDoor. Cette protection est censée bloquer les attaques qui ciblent iMessage. Cela signifie que cette protection n’est plus suffisante à l’heure actuelle.
Apple est conscient des problèmes décrits plus haut, ces derniers seront certainement corrigés à moyen terme. iOS 15 semble être mieux armé, néanmoins il n’est pas prévu de faire des corrections rapides. « Apple condamne sans équivoque les cyberattaques visant les journalistes, les militants des droits de l’homme, et tous ceux qui travaillent à un monde meilleur. Depuis plus d’une décennie, Apple mène l’innovation dans le domaine de la sécurité, et par conséquent les chercheurs s’accordent à dire que l’iPhone est l’appareil mobile grand public le plus sûr et le plus sécurisé sur le marché. (…) Les attaques décrites sont hautement sophistiquées, coûtent des millions à développer, ont souvent une durée de vie limitée et sont utilisées pour cibler des personnes très spécifique » Ivan Krstic, un des responsables de la sécurité chez Apple
Chez Amnesty International, on sait qu’il est difficile de critiquer Apple dans ce cas précis : « Il y a un déséquilibre fondamental des pouvoirs quand des centaines de personnes – voire des milliers en tant que contractuels ou freelance – sont employées pour consacrer leurs journées et leurs nuits à chercher des failles logicielles ».
Apple rémunère celles et ceux qui trouvent des failles de sécurité depuis 2016, dans le cadre du programme Apple Security Research Device (SRD). Néanmoins l’entreprise NSO – l’éditeur de Pegasus – le fait également.
Apple a également fourni un iPhone spécial, nommé SRD dev-fused, qui contient quelques fonctions uniques comme un accès SSH et root pour exécuter des commandes de bas niveau.
Le groupe américain tente de rassurer ses utilisateurs en expliquant que l’iPhone reste, malgré tout, le smartphone le plus sécurisé au monde.