C'est peut-être un problème pour Apple : du code source relatif à un composant-clé du système d'exploitation mobile iOS aurait été découvert. Il s'agit manifestement d'une fuite, même si son authenticité demeure incertaine.

Mise à jour avec un commentaire officiel d’Apple qui reconnaît la fuite d’un code source d’il y a 3 ans mais garantit que la publication des sources ne dégrade pas la sécurité des appareils. 

Si Apple est une société qui protège jalousement son code source, il lui arrive parfois de dévoiler les lignes de programmation qui font tourner certains de ses projets. C’est le cas par exemple du format de compression sans perte Alac (Apple Lossless), du langage Swift ou bien de Lisa, l’ancêtre du Mac. C’est la firme de Cupertino qui décide souverainement si et quand du code doit être communiqué au public.

Or, il est certain que l’affaire dont Motherboard vient de se faire l’écho cette semaine sur une récente diffusion de code n’entre en aucune façon dans les plans d’Apple en matière d’open source, à supposer que l’information s’avère authentique. Car le sujet est potentiellement grave pour Apple : en effet, les détails d’un composant crucial pour les terminaux de la marque auraient fuité en ligne.

Code source d’iBoot

L’élément en cause est iBoot. C’est un « bootloader », soit le chargeur d’amorçage qui permet de démarrer le système d’exploitation sur un appareil. Il sert par ailleurs à vérifier que le noyau de l’O.S. est correctement signé — afin de s’assurer de son authenticité et de son intégrité — pendant les étapes de mise en route du système sur le terminal en fonctionnement.

Signe de l’importance majeure de ce composant, Apple attribue des récompenses très élevées aux personnes qui lui signalent une vulnérabilité à ce niveau : 200 000 dollars si la vulnérabilité est réelle et démontrable. C’est le montant maximum prévu par Apple pour remercier les experts en sécurité qui testent ses programmes et lui indiquent, via une procédure très encadrée, la nature des problèmes détectés.

Une fuite liée à iOS 9.

Dans son malheur, Apple a peut-être de la chance : la divulgation ne toucherait qu’une version spécifique d’iBoot, celle pour iOS 9, une version de l’OS mobile sortie le 16 septembre 2015. Pour le dire autrement, ce ne sont pas tous les appareils de la marque américaine qui sont exposés. En outre, la fragmentation d’iOS mesurée par Apple montre qu’iOS 9 n’est plus très répandu :

93 % des terminaux vus sur l’App Store le 18 janvier 2018 fonctionnent avec iOS 10 et 11. Seuls 7 % des utilisateurs n’ont pas encore procédé à la mise à jour (ou ne peuvent pas le faire) et sont donc sur des branches précédentes (cela peut être iOS 9, mais aussi 8, 7, etc). Toutefois, ce code source d’iBoot lié à iOS 9 partage peut-être d’importantes portions avec les chargeurs d’amorçage des autres déclinaisons de l’OS.

iOS 9

Deux personnalités interrogées par nos confrères considèrent qu’il s’agit bien des entrailles d’iBoot. La première est un auteur de livres consacrés à iOS et Mac OSX et la seconde un chercheur en sécurité qui connaît bien le fonctionnement d’iOS.

La question qui se pose évidemment est de savoir si la diffusion de ce code source va poser des risques de sécurité pour la clientèle Apple. Dans un communiqué, la firme a fait connaître sa position à ce sujet : «  Un ancien code source datant d’il y a trois ans semble avoir été divulgué, mais par sa conception, la sécurité de nos produits ne dépend pas de la confidentialité de notre code source. De nombreuses couches de protections matérielles et logicielles sont intégrées au sein de nos produits et nous encourageons toujours nos clients à mettre à jour leurs appareils avec les dernières versions des logiciels afin de bénéficier des protections les plus récentes ».

De son côté, le code source est sans doute déjà étudié pour traquer des failles, à des fins de déplombage, c’est-à-dire pour jailbreaker un iPhone et y installer des applications piratées. Cependant, il faut aussi noter que les brèches qui pourraient être découvertes ont peut-être déjà été  vues par Apple et corrigées dans des versions ultérieures d’iBoot.

Pour l’un des deux spécialistes questionnés par Motherboard, il s’agirait de « la plus grosse fuite de l’histoire » d’Apple. C’est peut-être le cas, mais cela ne la rend pas nécessairement extrêmement grave. Ou du moins, il faut la nuancer. Par les remarques dites plus haut, mais aussi par le fait que ce même code avait déjà fuité fin 2017 mais qu’il n’avait pas reçu le même écho. Or depuis, Apple a pu agir.

Partager sur les réseaux sociaux