L'authentification à deux facteurs d'iCloud ne protège pas tout
Depuis quelques mois, Apple propose une authentification à deux facteurs pour l'accès à iCloud, afin d'offrir une sécurité supplémentaire, puisqu'il devient impossible de se connecter en ayant simplement volé l'identifiant et le mot de passe d'un utilisateur. Mais cette protection serait encore insuffisante selon Valdimir Katalov, CEO d'ElcomSoft.
En effet, en analysant les protocoles de communication d'iCloud, il a découvert que la sauvegarde iCloud n'utilise pas cette authentification à deux facteurs. Il est ainsi possible de déclencher et récupérer à distance une sauvegarde via iCloud sans être bloqué par cette authentification à deux facteurs. L'utilisateur n'est de plus même pas informé par mail du téléchargement de la sauvegarde, alors qu'il en est normalement informé lorsqu'il l'effectue lui-même, par exemple pour la restauration d'un appareil. La sauvegarde peut donc être téléchargée à l'insu de l'utilisateur. Si ces manquements à la sécurité ne sont pas dramatiques, dans la mesure où ils nécessitent tout de même de connaître le mot de passe de l'utilisateur, il est dommage qu'Apple n'ait pas sécurisé tous les moyens de connexion à iCloud.
C'est d'autant plus gênant que l'utilisateur n'a apparemment aucun moyen de chiffrer efficacement sa sauvegarde iCloud. Les données envoyées pour la sauvegarde sont en effet bien chiffrées, mais la clé de chiffrement est envoyée avec la sauvegarde... Contrairement à ce que prétend Apple, elle est donc, selon Katalov, en possession des clés, et peut donc accéder aux données des utilisateurs (ce qui ne veut bien entendu pas dire qu'elle le fait...). Il note également que les données chiffrées ne sont au final pas stockées chez Apple, mais chez Amazon et Microsoft, qui fournissent du stockage à la pomme, tandis qu'Apple conserverait les clés. C'est d'ailleurs directement depuis les serveurs Amazon et Microsoft qu'il parvient à télécharger les sauvegardes iCloud, après avoir récupéré les identifiants de ces sauvegardes et les clés de chiffrement auprès des serveurs Apple.
Katalov attend désormais de pied ferme le jailbreak d'iOS 7 pour se pencher sur Touch ID et vérifier l'exactitude des affirmations d'Apple selon lesquelles les données biométriques ne sont ni enregistrées localement ni envoyées vers les serveurs d'Apple...