Apple monte au créneau pour défendre la sécurité d'iOS
L'annonce de failles permettant d'accéder au contenu d'un appareil iOS a fait beaucoup de tort à Apple, qui défend sa plateforme comme un modèle de sécurité. La société a officiellement réagi à cette affaire. Voici une traduction du communiqué.
La semaine dernière, Google a publié un billet sur les vulnérabilités qu'Apple avait corrigées sous iOS en février. Nous avons entendu des clients préoccupés par certaines des allégations et nous voulons nous assurer que tous nos clients soient informés des faits.
Premièrement, l'attaque sophistiquée était étroitement ciblée et non un exploit à grande échelle touchant les iPhones « en masse » comme décrit. L’attaque a touché moins d’une douzaine de sites Web consacrés au contenu lié à la communauté ouïghoure. Quelle que soit l'ampleur de l'attaque, nous prenons la sécurité de tous les utilisateurs extrêmement au sérieux.
La publication de Google, publiée six mois après la publication des correctifs iOS, crée la fausse impression d’« exploitation de masse » pour « surveiller les activités privées de populations entières en temps réel », suscitant la peur parmi tous les utilisateurs d’iPhone selon laquelle leurs appareils avaient été compromis. Cela n'a jamais été le cas.
Deuxièmement, toutes les preuves indiquent que ces attaques contre des sites Web n'étaient opérationnelles que pendant une brève période, environ deux mois, et non pas « deux ans », comme l'indique Google. Nous avons corrigé les vulnérabilités en question en février – nous avons travaillé extrêmement rapidement pour résoudre le problème 10 jours seulement après que nous en ayons eu connaissance. Lorsque Google nous a contactés, nous étions déjà en train de corriger les bogues exploités.
La sécurité est un combat sans fin et nos clients peuvent être confiants sur le fait que nous travaillons pour eux. La sécurité iOS est inégalée car nous assumons la responsabilité de bout en bout de la sécurité de notre matériel et de nos logiciels. Nos équipes de sécurité des produits dans le monde cherchent constamment à introduire de nouvelles protections et correctifs de vulnérabilités dès qu’elles sont détectées. Nous n'arrêterons jamais notre travail inlassable pour assurer la sécurité de nos utilisateurs.
Il faut garder à l'esprit que ce genre de communiqué a été rédigé par des spécialistes de la communication dans ce domaine et Apple a certainement les meilleurs. Une fois cette base posée, on peut lire les choses de manière plus constructive. On voit que la société ne parle pas réellement du problème de fond, la cascade de failles permettant d'accéder au contenu d'un iPhone, mais en minimise l'impact.
Il y a donc eu seulement 12 sites, visant une communauté très ciblée, les Ouïghours, dont peu de monde avait entendu parler jusqu'à récemment, et seulement pendant 2 mois et pas 2 ans.
Autre pièce d'architecture, les équipes du projet Zero de Google sont des méchants et ont parlé de failles une fois comblées pour faire du mal à Apple.
Le meilleur reste certainement ceci : "Lorsque Google nous a contactés, nous étions déjà en train de corriger les bogues exploités." C'est invérifiable mais donne l'impression que Google n'est pour rien dans la correction des failles, les a même découvertes après les équipes d'Apple.
Soyons clairs, on ne peut pas réellement jeter l'opprobre sur Apple parce qu'il y a des failles sous iOS. Il y en a partout et des équipes spécialisées partout dans le monde ne cessent de les traquer pour leur employeur, souvent un état, ou pour des récompenses se chiffrant en millions ou dizaines de millions de dollars. Lutter contre les failles est donc forcément une bataille de défense et pas d'attaque. La seule chose importante est seulement la réactivité.
Il est en revanche fatigant en tant de client de voir tout cela se finir en bataille médiatique dirigée par des personnes n'ayant jamais pondu une seule ligne de code, plus promptes à essayer de coller un tableau sur un mur endommagé plutôt que de le réparer.