Il y a une semaine environ, 6 chercheurs en sécurité trouvaient une faille de sécurité dans iOS, OS X et d’autres systèmes d’exploitation, une faille d’autant plus sensible qu’elle permettait de totalement contourner le système de sandboxing d’iOS et OS X. La faille baptisée XARA permet notamment de récupérer à distance l’intégralité du contenu d’un iPhone, y compris bien sûr les identifiants (donc le mot de passe) mais aussi les jetons pour iCloud ou les mots de passes utilisés par d’autres services web comme ceux de Google.

Pire encore, les chercheurs ont développé une application exploitant cette faille, application qui a été validée et s’est donc retrouvée dans l’App Store, prête potentiellement à sévir sur les iPhone de millions d’utilisateurs. Apple semble d’autant plus en tort dans l’affaire qu’ils auraient été prévenus de la faille il y a de cela 6 mois sans avoir jusqu’à maintenant proposé le moindre des correctifs. Inutile de dire que les médias se sont emballés sur cette affaire et que si nombre de critiques virulentes sont tout à fait justifiées, d’autres au contraire jettent clairement bébé avec l’eau du bain et flirtent avec un « Apple Bashing » qui ne craint plus de s’afficher.

Le site iMore a recueilli les premières réactions d’Apple, et il apparaît que si le californien est clairement en faute, la présentation de la faille dans les médias s’est souvent accompagnée d’un manque de précisions laissant croire qu’Apple se lavait les mains de la sécurité d’iOS (ce qui bien sûr n’a aucun sens) ou pire avait laissé volontairement la faille opérationnelle pour complaire aux antennes de la NSA (ce qui a encore moins du sens).

Premier « debunk » : non, Apple n’a pas « rien fait » lorsqu’il a appris l’existence de cette faille. Apple aurait en fait demandé aux 6 chercheurs de taire l’existence de la faille, le temps de trouver une solution. La vérité semble plus simple (mais tout aussi inquiétante) que la théorie du « laissons faire sans rien faire » : les ingénieurs d’Apple se seraient retrouvés face à une faille beaucoup plus complexe que prévue, touchant à certaines des briques d’OS X et d’iOS, et que les différents « patchs » testés sur la période n’auraient pas réussi à corriger (les chercheurs confirment qu’Apple a bien mis en place des patchs qui se sont révélés inopérants). Apple a aussi bloqué – au niveau de ses serveurs – la possibilité de soumettre dans l’App Store une App exploitant la faille Xara, et cela avant même que celle-ci ne soit rendue publique. Ce n’est sans doute pas la panacée (loin de là même), mais cela veut tout de même dire qu’Apple s’est bien soucié du problème et que tous les utilisateurs qui restent dans le cadre de l’App Store ne peuvent plus subir d’attaques; la faille n’est pas comblée (et 6 mois après, cela fait tâche) mais une faille non comblée qui ne peut plus être active « dans les faits » est déjà un peu moins problématique (et au passage, la thèse du lien direct avec la NSA s’effondre d’elle-même). A noter qu’Apple a indiqué dans sa réponse à iMore qu’il s’était rapproché du groupe de recherche afin de trouver une solution.

Securite-informatique

Deuxième « debunk » : non, OS X et iOS ne sont pas les systèmes d’exploitation les moins « secure » du monde à cause de cette seule faille. En fait, les 6 chercheurs précisent bien dans leur rapport que Windows et d’autres OS sont eux aussi touchés, mais que c’est bien parce qu’Apple était mieux protégé à priori (Sandboxing et chiffrement) qu’il fallait démontrer le niveau de la faille en passant d’abord par les systèmes d’exploitation du californien.

Troisième « debunk » : « avoir raison sur une chose ne signifie pas avoir raison sur tout le reste« ; c’est ici moins un « debunk » qu’une remarque générale concernant les critiques, souvent légitimement fondées, portées à l’encontre d’Apple. La faille Xara est ici un cas d’école. Si Apple est coupable de ne pas avoir trouvé de solutions 6 mois après, et si la communication de l’entreprise peut être considérée comme passablement mauvaise dans cette affaire, cela ne signifie pas pour autant que l’on a le droit de dire tout et n’importe quoi, comme de laisser croire que la faille ne concerne qu’OS X et iOS, ou bien encore que RIEN n’a été fait alors que ce n’est visiblement pas le cas. La teneur de certains articles lus ici ou là donnent l’étrange impression qu’Apple serait devenu soudain la pire des sociétés concernant les données privées de ses utilisateurs, alors même que, faut-il le rappeler, la société a été adoubée par l’EFF récemment et a même été soutenue par un certain … Edward Snowden. Et un autre adage pour finir (je sais, j’aime bien les adages) : « Etre très mauvais une fois ne veut pas dire que l’on soit juste mauvais le reste du temps« .