Pourquoi Apple sort des iPhone destinés à être hackés
Depuis le 22 juillet 2020, les chercheurs en cybersécurité peuvent candidater au programme Security Research Device (SRD) pour recevoir un iPhone particulier, destiné à la traque de vulnérabilités.
Pour obtenir le prêt (pour un an) d'un de ces précieux iPhone, l'entreprise demande de l'expérience dans la recherche de vulnérabilités sur iOS, le système d'exploitation des iPhone. D'après Techcrunch, les experts sélectionnés auront accès à des outils supplémentaires, ainsi qu'à des forums dédiés à ces appareils moins sécurisés.
Puisque Apple aime avoir un grand niveau de contrôle sur ses activités, les analystes triés sur le volet devront accepter certaines conditions. S'ils trouvent une vulnérabilité grâce à l'iPhone prêté, ils devront la détailler à l'entreprise californienne et à tout autre acteur impliqué selon une procédure particulière. Un point de cette procédure concentre les critiques : Apple exige de fixer lui-même les dates du processus de réparation et de divulgation des vulnérabilités.
C'est trop en demander pour certaines structures de recherche comme le Google Project Zero. Son dirigeant, Ben Fawkes, se dit « déçu » par le programme d'Apple, et son équipe n'y participera pas malgré les 350 vulnérabilités qu'elle a remontées ces 5 dernières années. L'unité de Google donne un délai de 90 jours aux entreprises pour réparer les failles une fois qu'elle les a détaillées -- un standard partagé par d'autres organisations du secteur. Problème : cette politique serait potentiellement incompatible avec la mainmise que s'octroie Apple sur le processus de divulgation des vulnérabilités.
Ce boycott est-il vraiment un problème pour Apple ? Pas vraiment : le groupe appréciera toujours d'avoir des chasseurs de bugs à l'extérieur du programme SRD, qui pointeront d'autres types de problèmes que ceux à l'intérieur.
Sans cet iPhone spécifique, la recherche est laborieuse
Aujourd'hui, les chercheurs ont trois options pour analyser la sécurité des iPhone au-delà des premières couches. Aucune d'entre elles n'est vraiment satisfaisante, et Apple les entrave régulièrement.
Première option : ils utilisent un émulateur d'iOS, un logiciel qui va reproduire le fonctionnement du logiciel d'exploitation. Mais ces émulateurs ne sont pas toujours à jour par rapport à la dernière version d'iOS, et ils ne répliquent pas parfaitement le fonctionnement du système d'exploitation. En plus, Apple traîne en justice certains éditeurs de ces émulateurs, comme Corellium, invoquant ses droits sur la propriété intellectuelle.
Seconde option : les chercheurs utilisent un jailbreak, un outil qui va exploiter une vulnérabilité pour débloquer certaines fonctionnalités de l'iPhone. Problème : Apple corrige rapidement les vulnérabilités qui permettent leur usage, puisqu'elles pourraient être mobilisées à des fins malveillantes. Les chercheurs sont donc obligés de travailler sur d'anciennes versions d’iOS, vulnérables aux jailbreaks. À cause de ce décalage temporel, ils peuvent identifier des failles déjà corrigées dans les versions les plus récentes du système d'exploitation. Et ce n'est pas tout : Apple refuse certains rapports de vulnérabilités, expliquant que la version d'iOS jailbreakée est trop différente de celle en production.
La troisième option s'avère la plus efficace, mais aussi la plus risquée. Quelques chercheurs se sont procuré sur des places de marché peu recommandées des iPhone dits « dev-fused». Il s'agit de prototypes très peu sécurisés (bien moi que les iPhone du programme SRD), distribués uniquement à certains développeurs d'Apple, avec un usage encadré. En théorie, ils ne devraient pas sortir de la bulle de production, mais certains modèles sont mis en vente.
Le programme SRD répond donc à une réelle demande de la part des chercheurs en cybersécurité, et elle devrait ouvrir tout un pan de recherche aujourd'hui trop complexe à effectuer. Les heureux élus pourront exécuter leurs programmes avec des niveaux de privilèges habituellement inaccessibles.
Une bonne nouvelle, mais...
Grâce à l'iPhone SRD, un hacker va pouvoir observer plus facilement le comportement d'iOS mais aussi ses interactions avec des logiciels tiers comme TikTok. Non seulement il améliorera la sécurité d'iOS, mais il pourra aussi protéger les utilisateurs contre l'exposition à des apps malveillantes qui seraient passées outre le filtre d'Apple. L'iPhone se comportera comme un iPhone grand public, sauf que l'entreprise demande aux utilisateurs de le garder dans leur espace de travail, et de ne pas s'en servir en public.
Apple a déjà averti que l'ouverture de ces iPhone serait tout de même limitée, sans entrer dans le détail. Plusieurs chercheurs cités par Wired pensent que l'accès aux couches profondes de l'appareil -- comme le noyau du logiciel, le kernel, ou le firmware (entre charges des interactions entre matériaux) -- sera réduit.
Concrètement, Apple ouvre une portion d’iOS visible par les clients, dont les problèmes sont faciles à réparer avec une simple mise à jour rapide, en plus de permettre une observation améliorée des apps tierces. En revanche, il continuerait de restreindre l'accès aux parties profondes des iPhone, plus compliquées à réparer.
Au moins, ces limitations permettent à Apple d'avancer que même si les smartphones du SRD tombaient dans les mains de criminels, ils ne représenteraient pas un danger supplémentaire pour les utilisateurs.