Sécurité : avec iOS 8, Apple corrige ses lacunes

Le nouveau système d’exploitation mobile d’Apple embarque de nombreuses nouveautés en termes de sécurité, souvent imperceptibles pour l’utilisateur, mais pas anodines.

Comme à chaque nouvelle version d’iOS, Apple ne s’est pas contenter de doter son système d’exploitation mobile de fonctions supplémentaires. Le groupe a également amélioré en profondeur la sécurité de sa plateforme, jusqu’à corriger discrètement certaines dispositions contestées.

Ainsi, le chercheur Jonathan Zdziarski avait, fin juillet, alerté sur des services d’iOS permettant l’accès à des données personnelles de l’utilisateur à son insu. Loin d’accuser la firme à la pomme de collaborer avec la NSA, il s’inquiètait de la manière dont l’agence du renseignement américaine pourrait utiliser ces services à des fins de surveillance. Si l’intérêt de celle-ci pour les iPhone et autres iPad a été souligné l’an passé, dans le cadre du scandale Prism, il était généralement admis, jusqu’à lors, que l’accès aux données des terminaux iOS ne pouvait se faire que grâce à un accès physique, et au jailbreak. Les découvertes de Jonathan Zdziarski on remis en cause ces assertions. De fait, pour le chercheur, “certains de ces services pourraient avoir été utilisés par la NSA pour collecter des données sur certaines cibles potentielles […] certains services fonctionnant sur iOS ne devraient pas être là […] Mon espoir est qu’Apple va corriger ce problème. Rien de moins, rien de plus.”

Jonathan Zdziarski semble avoir été entendu par le groupe. Dans une toute nouvelle note technique, Apple se penche sur les services de diagnostique d’iOS. Et de préciser ainsi que le service pcapd de capture de paquets n’est plus accessible que via l’interface USB, en local donc, et assurément plus simplement via une connexion Wi-Fi. File_relay, qui permet d’extraire certaines données du terminal, à des fins de diagnostique uniquement selon Apple, fait l’objet de restriction, « nécessitant une configuration additionnelle avant d’être utilisé. » Mais attention : cela ne concerne qu’iOS 8, et pas son précédesseur.

Un chiffrement plus étendu

Mais ce n’est pas tout. Dans la foulée d’iOS 8, Apple a rendu publique une nouvelle version de son livre blanc de description des dispositions de sécurité embarquées par son système d’exploitation mobile. Et l’on y apprend ainsi que « certaines applications système telles que Messages, Mail, Calendriers, Contacts, et Photos utilisent Data Protection par défaut » quand des applications tierces peuvent optionnellement en profiter. Ce dispositif vise au chiffrement AES 256 bits des fichiers de données stockées sur la mémoire flash interne. Il est activé automatiquement dès que l’utilisateur définit un mot de passe pour verrouiller son terminal. Avec un processeur A7 – iPhone 5S notamment - , toutes les tâches liées aux clés de chiffrement sont assurées par Secure Enclave, un coprocessor dédié à la cryptographie et qui est notamment utilisé pour vérifier la signature des applications. Selon Apple, Secure Enclave « maintient l’intégrité de Data Protection y compris lorsque le noyau a été compromis. » Ce coprocesseur utilise notamment un espace mémoire chiffré.

La possibilité pour les administrateurs de définir des VPN par applications était déjà présente avec iOS 7. Mais à cela, Apple a jouté une disposition spécifique : le VPN actif en continu, « qui peut être configuré pour les terminaux administrés via MDM et supervisés avec Apple Configurator ou le programme Device Enrollment. » De quoi forcer l’utilisation systématique du VPN pour accéder aux services de l’entreprise, sans que l’utilisateur final n’ait besoin de penser à activer le lien VPN.

Pour approfondir sur Protection du terminal et EDR

Close