Apple va émettre des iPhones piratables

Apple a annoncé cette semaine qu'elle commencerait à expédier des iPhones de dispositifs de recherche de sécurité spécialement configurés aux chercheurs afin qu'ils puissent sonder les vulnérabilités sans interférence des murs de sécurité iPhone standard.

C'est la première fois qu'Apple publie de tels modèles de recherche qui accordent aux spécialistes des autorisations pratiquement illimitées sur le système d'exploitation pour exécuter leurs propres programmes, commandes personnalisées et code. Les iPhones seront livrés avec des outils de débogage et permettront d'accéder au code shell racine.

Lors de la conférence sur la sécurité Black Hat de l'année dernière, Apple a annoncé pour la première fois son intention de publier des iPhones modifiés afin de permettre aux chercheurs de détecter plus facilement les vulnérabilités.

Les spécialistes de la sécurité doivent actuellement s'appuyer sur des jailbreaks ou des émulateurs tiers pour étudier les problèmes de sécurité. Mais ces approches ont des limites. Selon Apple, les résultats obtenus sur les téléphones jailbreakés ne sont pas fiables en raison des différences inhérentes entre un modèle légitime et un modèle piraté. De plus, note Apple, la plupart des jailbreaks ne fonctionnent que sur les anciens téléphones et les anciennes versions d'iOS.

Au moins en partie en reconnaissance de ces obstacles, Apple prend cette mesure pour travailler plus étroitement avec les chercheurs.

«Les chercheurs en sécurité se sont déjà avérés plutôt réussis à découvrir les failles dans iOS proprement dit et les problèmes de sécurité et de confidentialité dans les applications tierces», a déclaré Patrick Wardle, chercheur en sécurité Apple au sein de la société de gestion d'entreprise Jamf, au magazine Wired. «Armés de ces nouveaux appareils, ils n'en trouveront probablement que plus. Pouvoir auditer et analyser plus facilement des applications tierces sur des appareils modernes exécutant la dernière version d'iOS serait très bien. C'est finalement une grande victoire pour les utilisateurs d'Apple et Apple lui-même. "

Apple accepte les candidatures pour le nouveau programme de chercheurs ayant des antécédents de recherche en sécurité. Les candidats doivent être titulaires de compte dans le programme Apple Developer Program. Les téléphones seront prêtés aux chercheurs et les renouvellements devront être effectués annuellement.

Le programme fonctionnera parallèlement au programme de primes aux bogues d'Apple, qui a été étendu à tous les chercheurs l'année dernière. Les chercheurs découvrant des vulnérabilités peuvent gagner jusqu'à 1 million de dollars d'Apple plus des bonus allant jusqu'à 50% en fonction de la gravité potentielle des problèmes qu'ils découvrent.

Des restrictions seront imposées aux participants au programme. Les téléphones ne peuvent pas être utilisés pour des appels personnels. Les vulnérabilités découvertes par les chercheurs ne peuvent pas être révélées au public tant qu'Apple n'a pas donné son autorisation, vraisemblablement après la conception des correctifs.

Certains groupes de sécurité sont préoccupés par les dispositions relatives au secret. Un expert a expliqué sa préoccupation quant à la possibilité qu'une faille importante qui reste non corrigée soit cachée au public. Will Strafach, PDG de la société de sécurité mobile Guardian et chercheur en sécurité iOS, a déclaré qu'il était en faveur de la divulgation publique des problèmes de sécurité comme moyen de faire pression sur les entreprises parfois récalcitrantes pour qu'elles agissent. En raison des restrictions d'Apple en matière de divulgation, il a déclaré que son entreprise ne postulerait pas pour le programme.

Et Ben Hawkes, de l'équipe de recherche sur la sécurité de Google, Project Zero, a déclaré que son groupe refuserait également de participer pour les mêmes raisons. "Nous continuerons à rechercher les plates-formes Apple et à fournir à Apple toutes nos découvertes, car nous pensons que c'est la bonne chose à faire pour la sécurité des utilisateurs. Mais j'avoue que je suis assez déçu", a-t-il déclaré.

© 2020 Réseau Science X