Des chercheurs découvrent un nouvel iPhone exploitant les photos et vidéos d'iMessage

Le cryptage tant vanté d’Apple n’est peut-être pas aussi difficile que le souhaite la société.

Une équipe de chercheurs de l'Université Johns Hopkins a découvert un moyen d'accéder aux images et vidéos cryptées envoyées via iMessage lorsqu'elles sont en transit entre deux appareils. Alors que la mise à jour de sécurité 9.3 commence à résoudre le problème, les téléphones ne seront corrigés que s’ils exécutent la version la plus récente d’iOS qui doit être publiée aujourd’hui.

Les chercheurs ont découvert qu'il était possible de deviner la clé des photos et des vidéos cryptées. Apple n'avait besoin que d'une clé à 64 chiffres pour accéder aux fichiers sécurisés stockés sur les serveurs iCloud, et l'équipe a été en mesure de déchiffrer le code en quelques mois. C’est précisément le type de faiblesse que les gouvernements sont capables d’exploiter, car la tâche de deviner prend plus de force brute qu’autre chose.

Matthew D. Green, professeur d’informatique à l’Université Johns Hopkins qui a dirigé l’action, estime que la facilité avec laquelle ses étudiants des cycles supérieurs ont cambriolé les serveurs d’Apple souligne la nécessité d’éviter d’affaiblir davantage le cryptage en créant des «backdoors» pour la surveillance gouvernementale.

"Même Apple, avec toutes ses compétences - et ils ont d'excellents cryptographes - n'a pas été en mesure de tout comprendre", a déclaré Green Le Washington Post. "Cela me fait donc peur que nous ayons cette conversation sur l'ajout de portes dérobées au cryptage alors que nous ne pouvons même pas obtenir le cryptage de base correct."

Le débat de longue date sur la question de savoir si le gouvernement devrait avoir accès à la communication cryptée sur des appareils tiers a récemment pris une nouvelle intensité puisque le FBI a demandé à Apple d'aider le service de police à pénétrer dans l'iPhone verrouillé des terroristes de San Bernardino. Le PDG d’Apple, Tim Cook, a catégoriquement refusé d’aider le FBI, et l’affaire sera entendue par un tribunal fédéral cette semaine.

L’exploit particulier découvert par l’équipe de Green n’aiderait pas le FBI à accéder à l’iPhone de San Bernardino, en particulier parce que les forces de l’ordre ne savent pas exactement ce qu’elles recherchent. Mais la découverte soulève la question de savoir pourquoi Apple devrait créer de nouveaux exploits dans ses appareils alors qu'il en existe déjà beaucoup. Apple semble certainement préférer les chercheurs de Green aux mandats du gouvernement.

«Nous apprécions l'équipe de chercheurs qui a identifié ce bug et nous l'a signalé afin que nous puissions corriger la vulnérabilité…. La sécurité nécessite un dévouement constant et nous sommes reconnaissants d’avoir une communauté de développeurs et de chercheurs qui nous aident à rester en tête ", a déclaré Apple dans un communiqué.

Nous en prenons conscience, Apple. Ils ont également dit que votre sécurité était nulle, et que toute personne disposant d'un peu de temps pourrait casser vos appareils. Si c’est le meilleur que nous ayons, peut-être avons-nous vraiment un problème.