iPhone, la meilleur chose qui soit arrivée au Blackberry
Le lancement très médiatisé de l'iPhone aura eu au moins l'avantage de détourner l'attention des spécialistes sécurité : tant que le gadget d'Apple -qui sert accessoirement à téléphoner- couvrira la hune des journaux, on parlera moins du Blackberry. On parlera moins de l'usage inconsidéré des nouvelles technologies dans les sphères gouvernementales exigeant, à des fins historiographiques- une conservation séculaire des archives sur papier. On parlera moins de la notion même de confidentialité des échanges, souvent confondue, à tord, avec la confidentialité de la nature des échanges. A quelques exceptions près, tout de même. Puisque qu'un article d'opinion dans les colonnes de Computer World vient à propos signaler que la perte d'un Blackberry, comparée à celle d'un iPhone, est moins catastrophique. Sous l'angle de la préservation des données notamment. Sauvegarde et réplication, effacement à distance sont des services propres aux ronces plus qu'aux pommiers. Pour ce qui concerne l'iPhone, c'est encore dans ComputerWorld que les premiers signes annonciateurs d'orage sont détectés. Est-il aussi « hackable » que n'importe quel autre PDA ? Selon Tom Ferris et David Maynor, la réponse est « oui », indiscutablement. L'un envisage de lancer une grande opération de fuzzing contre le navigateur intégré, l'autre se demande s'il ne serait pas possible de découvrir des failles « driver level » du coté des extensions WiFi de l'appareil. Maynor était l'homme de SecureWorks qui était parvenu à prendre le contrôle à distance d'un Macintosh en exploitant un défaut affectant les pilotes 802.11 Atheros. Et peut-être bien que cette idée, insiste Maynor, pourrait bien être étendue aux périphériques Bluetooth. Soupçons confirmés par ce papier de Bob Graham sur Errata, lequel écrit qu'une faille Safari se retrouve sur l'iPhone (défaut connu par ailleurs), et que le fait de triturer les couches Bluetooth lors d'un test de pénétration automatisé se solde parfois par un blocage de l'appareil... Bon signe, estime le chercheur. Le hack Bluetooth ? mais c'est une presque chasse gardée revendiquée par Kevin Finistere, çà... Et bien entendu, on parle de lui sur le journal de Xeno Kovah qui énumère la moindre information touchant à la sécurité de l'iPhone. Et l'on retrouve Finistere, avec deux ou trois autres chercheurs, sur l'extraction des mots de passe d'administration de l'appareil : Dottie et Alpine sont les deux sésame permettant de devenir root dans le monde communiquant d'Apple. L'opération fut relativement simple -encore une initiative de Finistere- et trouve sa source en analysant le fichier de restauration du téléphone, fichier aimablement désigné par K.F. (près de 93 Mo de données au format Zip). Toutes ces nouvelles sont collectées sur un Wiki exclusivement consacré aux hacks iPhone. Comment masquer l'IMEI, simuler l'activation, « désimlocker » l'appareil... les espoirs de la communauté sont nombreux et risquent de prendre un peu de temps avant d'être comblés. Du coté des chasseurs de virus, on se frotte les mains. F-Secure lance un sondage sur l'intérêt provoqué par le téléphone Apple. Plus il y aura de bruits autour de l'insécurité d'un modèle en particulier, plus il y aura d'espoir de vendre des licences d'antivirus. Ce n'est pas là une analyse technique mais du pur marketing. Comme le fait également remarquer Andrew Storms, sur 360° Security, un défaut est passé inaperçu, noyé dans le bruit publicitaire : l'absence d'outils de management destinés à superviser une flotte d'iPhone en entreprise. Car, insiste l'auteur, cet appareil se retrouvera également en entreprise, avec ou sans l'aval des Directions Informatiques. C'est là une plaie béante dans la sécurité des industriels vitupère Storm. Insécurité renforcée par cette sorte d'autohypnose des sectateurs d'OS/X consistant à affirmer qu'il n'existe aucun « bug », aucun virus, aucune attaque possible dans l'univers Mac. Et d'achever son article par 17 questions à poser à Apple à propos de la sécurité intrinsèque de l'appareil. La vision de Storm est excessive, totalement paranoïaque, mais le cartésianisme de son analyse peut être étendu à tout « outil de mobilité ». Ces 17 questions définissent au moins un cahier des charges, une approche méthodologique des « bonnes pratiques » à mettre en oeuvre selon la nature et le degré de confidentialité des documents susceptibles d'être stockés ou véhiculés par n'importe quel appareil « mobile », iPhone ou autre. Beaucoup de bruit pour rien, estime-t-on chez Matasano. L'iPhone sera-t-il piraté ? bien entendu. Sera-t-il un vecteur d'insécurité en matière de hack WiFi, Bluetooth, perte d'informations etc ? sans doute, parmi tant d'autres vecteurs tout aussi dangereux. Verra-t-on quelqu'un porter Linux sur un iPhone ? Hélas oui... Et les hackers vont-ils passer beaucoup de temps dans le seul but de s'infiltrer dans la mémoire des terminaux Apple ? j'en doute, conclue Dave Goldsmith. Et de conclure qu'une personne qui dépense 500 dollars pour un tel équipement est un peu plus attaché à son intégrité qu'à celle d'un ordinateur portable fourni par son entreprise... simple question d'appropriation. Certes, Goldsmith marque quelques points de bon sens. Mais sa dernière réflexion est loin de faire l'unanimité des techno-sociologues. Si effectivement le sentiment d'appropriation « marche à fond » auprès d'une population de techno-accros, elle ne se vérifie quasiment jamais dans le cadre d'un vaste échantillonnage grand public. C'est une question de maitrise des connaissances techniques et de « chosification » des hautes technologies tombées dans l'usage quotidien. Si le sentiment d'appropriation était synonyme de respect des règles simple de sécurité, 80 % du parc des ordinateurs domestiques, portables ou de bureau, seraient aussi protégés que les HLM bétonnés de Taverny. Avec la banalisation vient l'indifférence, et le succès de l'iPhone tend à la banalisation de l'objet. L'intérêt financier d'Apple est de transformer son téléphone en objet d'usage courant, adopté par tout le monde, et ne nécessitant pas plus d'attention sécuritaire qu'une pince à sucre ou un lecteur MP3. Et personne ne se pose de question sur la « sécurité » d'une pince à sucre ou d'un lecteur MP3... anxieux du diabète ou du pod slurping mis à part.