Apple prétend que les pièces jointes des e-mails synchronisés sous iOS sont chiffrées. Or un chercheur en sécurité a démontré l'inverse...

Pour convaincre en particulier les utilisateurs professionnels de faire confiance à iOS, Apple propose depuis l'iPhone 3GS et sur tous les iPad une fonctionnalité de protection des données, censée offrir "un degré de protection supplémentaire pour vos pièces jointes et applications tierces", par le biais d'un chiffrement matériel dont la clé est complétée d'un code personnel.

Sur sa documentation de sécurité (.pdf) dédiée au déploiement de l'iPhone et de l'iPad en entreprise, Apple dit bien que "à partir des capacités de chiffrement matériel de l’iPhone et de l’iPad, la sécurité des e-mails et pièces jointes stockés sur l’appareil peut être renforcée par l’utilisation des fonctionnalités de protection des données intégrées à iOS".

Sauf qu'il n'est apparemment rien avec iOS 7.

Le chercheur en sécurité Andreas Kurtz a en effet voulu vérifier les déclarations d'Apple, et a accédé directement au système de fichiers de son iPhone 4 sous iOS 7 pour lire les e-mails stockés sur l'appareil, où la fonctionnalité de protection des données avait été activée. Il a pu constater que les e-mails eux-mêmes n'étaient pas accessibles. En revanche, les pièces jointes stockées dans un sous-dossier étaient toutes lisibles en clair, comme le montre son ouverture d'un fichier PDF :

"J'ai informé Apple de ces découvertes", raconte Kurtz. "Ils ont répondu qu'ils étaient au courant de ce problème, mais n'ont pas précisé de date à laquelle on pourrait attendre un correctif. Etant donné le temps depuis lequel iOS 7 est disponible désormais, et le caractère sensible des pièces jointes des e-mails que beaucoup d'entreprises partagent sur leurs appareils (en se reposant fondamentalement sur la protection des données), j'attendais que le correctif soit proche. Malheureusement, même iOS 7.1.1 sorti (le 22 avril) n'a pas remédier au problème, laissant les utilisateurs exposé au risque d'un vol de données". 

Qu'Apple ne corrige pas le problème, c'est une chose. Qu'il continue à prétendre que les pièces jointes sont chiffrées sous iOS alors qu'elles ne le sont pas, ça en est une autre.

Partager sur les réseaux sociaux

Articles liés