Sécurité iOS : Corellium propose d’analyser les iPhones, Apple contre VA EN poursuite judiciaire
Le lundi dernier, la société Corellium annonçait publiquement une subvention à hauteur de 15 000 dollars pour un programme visant à examiner de plus près le contenu des iPhones.
L’argument utilisé par la société est un renforcement de la confidentialité et de la sécurité des appareils iOS.
Cet article va aussi vous intéresser : 8 étapes pour savoir si votre iPhone est infecté par Pegasus
Voici entre autre la déclaration publique de Corellium à l’annonce de ce programme :
« Aujourd’hui, en l’honneur du quatrième anniversaire de Corellium, nous annonçons l’Initiative de sécurité ouverte de Corellium. Cette initiative soutiendra la recherche publique indépendante sur la sécurité et la confidentialité des applications et appareils mobiles grâce à une série de prix et à l’accès à la plateforme Corellium. »
« Plus que tout autre domaine de l’informatique, la sécurité dépend de l’existence d’une communauté de chercheurs importante, diversifiée et non officielle. Alors que les avancées dans des domaines tels que la conception de matériel informatique émerge souvent de laboratoires privés bien financés, la majorité des progrès en matière de cybersécurité au cours des dernières décennies sont venus de la « communauté de la recherche en sécurité », une communauté qui comprend non seulement des universitaires et des professionnels accrédités, mais aussi des hackers ou des amateurs. »
« Mener des recherches par des tiers sur les appareils mobiles reste difficile, inefficace et coûteux. En particulier dans l’écosystème iOS, les tests nécessitent généralement un appareil physique jailbreaké. Les jailbreaks reposent sur des exploits complexes, et ils ne sont souvent pas fiables ou disponibles pour les derniers modèles d’appareils et versions de système d’exploitation. »
« Chez Corellium, nous reconnaissons le rôle essentiel que jouent les chercheurs indépendants dans la promotion de la sécurité et de la confidentialité des appareils mobiles. C’est pourquoi nous recherchons constamment des moyens de rendre les recherches de tiers sur les appareils mobiles plus faciles et plus accessibles, et c’est pourquoi nous lançons la Corellium Open Security Initiative. »
« En tant que premier pilote de ce programme, nous lancerons un appel à propositions sur un sujet spécifique. Au fil du temps, nous évaluerons l’ajout de plus de sujets et plus de possibilités de récompenses. Si vous êtes intéressé à parrainer ou à collaborer avec nous sur cette initiative, veuillez nous contacter. »
« La communauté des chercheurs en sécurité joue un rôle central non seulement dans l’identification et la défense contre les menaces de sécurité, mais aussi dans la responsabilisation des éditeurs de logiciels quant aux déclarations de sécurité et de confidentialité qu’ils font à propos de leurs produits. »
À la suite de son discours, la société de recherche à lancé un mot à l’égard de la firme de Cupertino pour ces efforts consentis dans le domaine de l’avancée technologique. Car en effet, l’initiative de Corellium est inspirée fortement d’un programme du même genre lancé par Apple au cours de la semaine dernière.
« Pas plus tard que la semaine dernière, Apple a annoncé qu’il commencerait à numériser les photos téléchargées dans le service iCloud d’Apple pour le matériel d’abus sexuel d’enfants (CSAM). Laissant de côté les débats sur les implications civiles et philosophiques de cette nouvelle fonctionnalité, Apple a fait plusieurs déclarations de confidentialité et de sécurité à propos de ce nouveau système. Ces revendications couvrent des sujets aussi divers que la technologie de hachage d’image, la conception cryptographique moderne, l’analyse de code et la mécanique interne et la conception de la sécurité d’iOS lui-même. Des erreurs dans n’importe quel composant de cette conception globale pourraient être utilisées pour subvertir le système dans son ensemble et, par conséquent, violer les attentes en matière de confidentialité et de sécurité des utilisateurs d’iPhone. »
« Depuis cette annonce initiale, Apple a encouragé la communauté indépendante de la recherche en sécurité à valider et vérifier ses allégations de sécurité. Comme l’a déclaré Craig Federighi, vice-président directeur de l’ingénierie logicielle d’Apple dans une interview au Wall Street Journal, « les chercheurs en sécurité sont constamment en mesure d’introspecter ce qui se passe dans le logiciel [téléphonique] d’Apple, donc si des changements étaient apportés qui devaient étendre la portée de cela dans d’une certaine manière – d’une manière que nous nous étions engagés à ne pas faire – il y a une vérifiabilité, ils peuvent repérer ce qui se passe ». »
« Nous applaudissons l’engagement d’Apple à se tenir responsable vis-à-vis des chercheurs tiers. Nous pensons que notre plateforme est particulièrement capable de soutenir les chercheurs dans cet effort. Nos appareils virtuels « jailbreakés » n’utilisent aucun exploit et s’appuient plutôt sur notre technologie d’hyperviseur unique. Cela nous permet de fournir des appareils virtuels enracinés pour une analyse de sécurité dynamique presque dès la sortie d’une nouvelle version d’iOS. De plus, notre plateforme fournit des outils et des capacités qui ne sont pas facilement disponibles avec les appareils physiques. »
« Nous espérons que d’autres fournisseurs de logiciels mobiles suivront l’exemple d’Apple en promouvant la vérification indépendante des allégations de sécurité et de confidentialité. Pour encourager cette recherche importante, pour ce premier pilote de notre initiative de sécurité, nous accepterons des propositions de projets de recherche conçus pour valider toute revendication de sécurité et de confidentialité pour tout fournisseur de logiciel mobile, que ce soit dans le système d’exploitation ou des applications tierces. », déclare Corellium.
Le souci avec toute cette sortie, c’est qu’il a eu pour mérite d’irriter Apple. Situation qui était nettement prévisible en ce sens que tout le monde a toujours su que la société américaine basée à Cupertino déteste qu’on touche à son système d’exploitation
Et ce n’est pas la première fois qu’elle réagit de cette manière. Car encore une fois, Apple poursuit Corellium en justice.
Bien évidemment dans la communauté des spécialistes de la sécurité informatique ou du développement dans l’ensemble, le comportement de Apple est contesté comme d’habitude.
« Apple exagère la capacité d’un chercheur à examiner le système dans son ensemble », soulignait alors le directeur de la technologie à l’observatoire internet de Stanford, David Thiel, par ailleurs l’auteur du livre « iOS Application Security. Ce dernier mentionne le fait que la firme de Cupertino préfère dépenser beaucoup plus d’argent pour empêcher les chercheurs de faire le boulot : « Apple a dépensé des sommes considérables spécifiquement pour empêcher cela et rendre de telles recherches difficiles. Ils sont allés jusqu’à poursuivre une entreprise qui a rendu les choses trop faciles. Ce pivot est totalement fallacieux. Si Apple veut s’appuyer sur la communauté de sécurité iOS comme vérification indépendante, il doit cesser de traiter cette communauté comme des ennemis et nous laisser déverrouiller et examiner correctement les appareils. ».
Accédez maintenant à un nombre illimité de mot de passe :