Il y a quelques heures, le hacker et spécialiste en sécurité Jonathan Zdsiarski lançait un véritable pavé dans la mare iOS. Selon l’intéressé, l’OS mobile de Cupertino ferait tourner en tâche de fond des process non documentés et qui pourraient avoir pour seule fonction de récupérer des informations privées pour le compte d’Apple ou surtout, et plus inquiétant, de la NSA. Et le hacker de se poser les questions suivantes : pourquoi tout le contenu d’iOS n’est pas chiffré alors que l’appareil garde une connexion quasi permanente au net, pourquoi les données privées ne sont-elles pas protégées grâce au code Pin de l’appareil, pourquoi ne peux t-on couper l’accès à un appareil distant qui se connecterait à l’iPhone ?

NSA iPhone

Les critiques de Zdsiarski ont fait à ce point du remue-ménage qu’Apple s’est donc empressé de réagir dans une petite note précisant, comme on s’en doute, que l’entreprise n’a pas laissé de portes dérobées à disposition des services secrets américains :

« Nous avons conçus iOS de façon à ce que les fonctions de diagnostics ne compromettent pas la sécurité et la confidentialité des données de l’utilisateur, mais au contraire puissent fournir les informations nécessaires aux services IT des entreprises, aux développeurs concernés ainsi qu’à Apple pour la résolutions des problèmes techniques. Un utilisateur doit débloquer son appareil et accepter de le relier à un autre ordinateur avant que cet ordinateur soit capable d’accéder à ces données de diagnostic. En outre, l’utilisateur doit accepter de partager cette information, et les données ne sont jamais transmises sans son consentement. »

Si l’analyse de Zdsiarski a du sens, la réponse d’Apple en a tout autant en l’occurrence car il est vrai que la société a fait beaucoup ces dernières année pour automatiser les remontées d’analyse de processus, ceci afin d’éliminer les bugs de fonctionnement qui apparaissent sur les iPhone. Ce n’est pas nouveau, et si cela paraît un peu plus « étrange » chez Apple c’est surtout dû au fait que tout se fait de façon discrète bien qu’en effet la CLUF d’iOS précise bien que seul l’utilisateur accepte de donner ainsi la main à Apple pour remonter ces analyses: du reste, cette phase d’acceptation se fait dès la première initialisation et le premier paramétrage du logiciel, et il est tout à fait possible de la refuser.

Il est vrai aussi que si Zdsiarski a réussi à installer le doute, sur le fond ses remarques ne sont pas vraiment neuves : le non chiffrage intégral de toute la base de l’OS ne concerne pas qu’iOS, quant à la possibilité d’éjecter un appareil tiers connecté (à l’insu de l’utilisateur de l’iPhone on suppose), là encore, au vu de la configuration d’utilisation et de synchronisation d’iOS avec un ordinateur, comme le rappelle Apple, tout autre mode de lien avec un appareil tiers relève plus du cas théorique que d’une situation réelle ou qui pourrait vraiment advenir (d’ailleurs Zdsiarski ne donne pas d’exemples précis à ce sujet).

Sans aller jusqu’à dire que qu’il s’agit d’une tempête dans un verre d’eau, tout au moins peut-on faire remarquer que si le doute reste permis (surtout depuis l’affaire Snowden), le mieux est tout de même de l’étayer avec un semblant de preuve, sous peine de tomber dans une forme de suspicion généralisée qui ne sert pas vraiment au final la cause – la vie privée de l’utilisateur – que l’on prétend défendre. iOS a peut-être des backdoors au final, mais il va certainement falloir le prouver avec autre chose que des soupçons sur des process que l’utilisateur peut choisir de ne pas lancer, et qui concernent probablement, sauf preuve inverse, des remontées d’analyses massifiées servant au traitement des bugs d’iOS (nous sommes tous des bêtas testeurs).