Apple pourrait lire les conversations iMessage

Cyril Cattiaux, chercheur en sécurité chez Quarkslab, prévoit de montrer, lors de la conférence HITBSecConf, à Kuala Lumpur, au mois d’octobre prochain, qu’Apple «peut techniquement lire les iMessage quand il le veut ».

Cyril Cattiaux, chercheur en sécurité chez Quarkslab, prévoit de montrer, lors de la conférence HITBSecConf, à Kuala Lumpur, au mois d’octobre prochain, qu’Apple «peut techniquement lire les iMessage quand il le veut ».

Mi-juin, alors que le scandale Prism commençait à poser la question de la confidentialité des correspondances électroniques, Apple assurait très fermement «ne pas fournir, à quelque agence gouvernementale, d’accès direct» à ses serveurs, et que tout accès à des données personnelles devait s’appuyer sur une décision de justice. Le groupe ajoutait en outre avoir reçu entre 4000 et 5000 demandes de cette nature entre le 1er décembre 2012 et le 31 mai 2013. Surtout, selon Apple, les conversations iMessage et FaceTime «sont protégées par un chiffrement de bout en bout ». Une protection qui ne serait pas infaillible.

Et Cyril Cattiaux, chercheur chez Quakslab, entend en faire prochainement la démonstration. Selon lui, Apple peut, techniquement, lire les conversations iMessage. Dans la présentation de sa prochaine intervention, il explique ainsi que «l’équipe de Quarkslab étude le protocole iMessage depuis quelque temps. Nous expliquerons les couches du protocole, avec le système de push et iMessage en lui-même. Avec cette compréhension [du protocole], nous avons pu essayer de construire une attaque de type man-in-the-middle contre iMessage. Nous expliquerons les conditions clés de la réussite de cette attaque. Nous descendrons en profondeur dans la cryptographie utilisée pour le chiffrement, l’authentification et la gestion des clés ». Au final, «en réunissant toutes ces pièces, nous démontrerons qu’Apple peut techniquement lire vos iMessage quand il le veut ». Et de prévoir de diffuser un logiciel à destination des appareils iOS jailbreakés visant à prévenir ce type d’attaque.

Pour approfondir sur Cyberdéfense

Close