Passer au contenu

iMessage, Apple peut lire vos messages disent des hackers. Faux ! répond Apple

Alors qu’Apple avait indiqué, dans le cadre de l’affaire Prism, qu’elle-même ne pouvait pas écouter les communications de ses utilisateurs sur iMessage, deux chercheurs ont démontré plusieurs failles dans le protocole de cette application.

Alors que les premières déflagrations provoquées par les révélations d’Edward Snowden sur Prism résonnaient encore, les géants du Web mis en cause se sont succédés pour rassurer leurs utilisateurs.
Parmi eux, Apple. Le géant de Cupertino avait ainsi indiqué qu’iMessage et FaceTime « sont protégés par un chiffrement de bout en bout que personne, à part l’expéditeur et le destinataire peuvent voir ou lire ». La société de Tim Cook précisait même qu’elle « ne peut pas déchiffrer ces données ».

Entre possibilité et réalité

Deux hackers dont Pod2g, Cyril Cattiaux de son vrai nom, qui s’est illustré sur la scène iOS, seul ou en équipe, viennent, à les croire, de démontrer que ce n’est pas totalement le cas. Si les communications sont bel et bien chiffrées, Apple a la possibilité technique de déchiffrer les communications de ses utilisateurs, ou de confier les clés nécessaires à des agences gouvernementales.
Attention, toutefois, précision d’importance, les deux hackers indiquent que rien ne prouve qu’Apple l’ait fait ou ait l’intention de le faire. « Ce que nous disons : Apple peut lire vos iMessages s’ils décident de le faire ou s’ils sont obligés de le faire par un ordre gouvernemental ». « Ce que nous ne disons pas : Apple lit vos iMessages. », lit-on sur le blog de Quarkslab, la société de recherche en sécurité informatique (française) pour laquelle ils travaillent.

Chiffrement mais sécurité incomplète

Le protocole propriétaire derrière iMessage, système de messagerie instantanée textuel, établi entre périphérique iOS et Mac OS X, est resté longtemps secret, il a donc fallu que les deux hackers se livrent à un peu de reverse engineering. Ils ont ainsi découvert qu’Apple contrôle l’infrastructure gérant les clés de chiffrement – contrôlant celle du serveur et stockant celles des utilisateurs.
Techniquement, le service de messagerie fonctionne en utilisation le service de notification PUSH d’Apple, qui maintient une connexion IP permanente entre les périphériques et les serveurs sécurisés d’Apple (SSL). « Presque tout le trafic de données est chiffré », expliquent les deux chercheurs dans leur post. « Toutes les communications vers les serveurs d’Apple se font au travers d’un tunnel SSL sécurisé », continuent-ils. Pour autant, le protocole utilisé n’associe pas un hôte à un certificat spécifique ce qui ouvre tout grand la porte à une attaque potentielle de type man in the middle (MITM). « La première chose que nous avons voulu essayer quand nous avons découvert [le fonctionnement du système] a été d’ajouter un certificat pour réaliser une attaque de type MITM. Nous avons été très surpris de voir que ça fonctionnait si facilement ».
Les deux chercheurs ont par ailleurs découvert que l’Apple ID, qui sert à s’identifier auprès de tous les services proposés par Apple, et le mot de passe sont transférés en clair. « Nous ne voyons aucune raison pour Apple d’accéder à nos mots de passe », écrivent-ils.

Apple : ce n’est pas notre intention

Pour autant, Apple a réagi à cette démonstration auprès du site américain All Things D. « L’architecture d’iMessage n’est pas conçue pour permettre à Apple de lire les messages », déclarait un porte-parole du groupe. « L’étude développe les failles théoriques qui impliqueraient qu’Apple redéveloppe le système iMessage afin de les utiliser. Et Apple n’a aucun projet et aucune intention de le faire ».

Un débat technique, légal et éthique

Pod2g et gg ont d’ailleurs tweeter cette réponse d’Apple, mais indiquait dans un tweet précédent qu’il restait encore à creuser dans cette affaire, qu’il y aurait plus à annoncer. Quelles que soient les prochaines informations sur ce point, il n’en reste pas moins que des services chiffrés comme Lavabit, dont nous vous parlions récemment, ont subi des pressions des autorités américaines pour révéler les clés de chiffrement verrouillant l’accès aux données de leurs utilisateurs.
C’est d’ailleurs l’introduction du post de Quarkslab, qui met en perspective l’enjeu des solutions de chiffrement non compromises. L’impossibilité pour Apple d’« écouter » les communications de ses utilisateurs est remise en cause. Relançant le débat éthique sur les libertés des Internautes de communiquer à l’abri des oreilles indiscrètes des services secrets de la planète.

A lire aussi :
Notre dossier Prism : surfez, vous êtes surveillé

Sources :
Engagement d’Apple pour la sécurité de ses utilisateurs
Post du Quarkslab
Livre blanc de Pod2g et gg (PDF)
Threatpost
All Things D

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Pierre Fontaine
Les dernières actualités
Huawei Pura 70 Une
Huawei lance le Pura 70 en France mais ne veut pas dire s’il est compatible 5G
Apple M3
Des puces toujours plus fines et plus puissantes chez TSMC et Apple : après le 3 nm, voici le 1,6 nm
Piratage Telechargement Illegal Clavier
Streaming : les prix élevés et le trop plein de plateformes favorisent le piratage
Samsung Neo Qled Qn900d 2024
Les meilleurs TV Samsung profitent d’offres de remboursement exclusives (jusqu’à -1000€)
Malware Android Invisible
Nouvelle menace sur Android : le malware Brokewell veut dévaliser votre compte bancaire
MEA Google Meet
Google Meet : vous pourrez bientôt commencer un appel sur votre PC et le terminer sur votre smartphone Android
Samsung Galaxy S24 Ultra
Samsung sort un prix FOU sur son Galaxy S24 Ultra, la remise est historique (-57%) 😱
Snapdragon X Plus
Snapdragon X Elite/Plus : soupçons de triche sur la puce rivale de l’Apple M3
Top téléchargements