Sécurité : iOS enfin rattrapé par Android ?

C’était en 2012. Charlie Miller et Dino Dai Zovi animaient un atelier sur la conférence RSA au sujet de la sécurité des systèmes d’exploitation mobiles. L’occasion pour eux de souligner l’avance de celui d’Apple sur celui de Google : selon les deux chercheurs, il fallait à l’époque au moins quatre à cinq exploits logiciels pour installer un maliciel persistant aux pleins pouvoirs sur un terminal iOS, contre un ou deux du côté d’Android. Mais aujourd’hui, la situation semble avoir à tout le moins commencé à changer.

Fin août, les équipes du projet Zéro de Google ont publié le résultat de recherches sur des attaques par point d’eau soupçonnées d’être conduites, depuis au moins l’automne 2010, par le gouvernement chinois à l’encontre des Ouïghours. Les terminaux Android et Windows étaient visés, mais aussi, sinon surtout, les appareils mobiles iOS. Les vulnérabilités exploitées là pour déployer un logiciel espion – quoique non persistant – n’ont été corrigées qu’en début d’année, avec iOS 12.1.4.

Et puis il y a cet épisode malheureux : avec iOS 12.4, Apple a rétabli une vulnérabilité corrigée au préalable dans la version 12.3, ouvrant la voie au premier véritable jailbreak depuis plusieurs années. La firme à la pomme a rapidement réagi, distribuant une nouvelle version redéployant le correctif. Mais pour anecdotique qu’il puisse paraître, l’épisode jette une ombre sur les processus d’assurance qualité d’Apple. Et ce n’est pas la seule.

Ainsi, Zerodium propose désormais et pour la première fois, de payer plus cher pour des chaînes d’exploits complètes assurant persistance sur Android – jusqu’à 2,5 M$ – que sur iOS (2 M$). Chaoukri Bekrar, fondateur et Pdg de Zerodium, justifie cette évolution : « Google et Samsung ont considérablement amélioré leur sécurité ». Selon lui, les chaînes d’exploits complètes pour iOS, visant en particulier Safari et exécutables en un clic, « sont abaissées à 1 M$ parce qu’il y en a bon nombre sur le marché ». Et d’ajouter, « triste, mais vrai ».

Le chercheur en sécurité connu sous le pseudonyme The Grugq, n’apparaît pas surpris : « j’ai donné des indices pour expliquer qu’iOS n’est pas sûr ». Et de l’assurer : « un téléphone Android sécurisé est plus sûr qu’un appareil iOS ». Pour lui, l’un des problèmes de l’écosystème d’Apple est que « c’est une monoculture, où la sécurité est liée au matériel et au logiciel les plus récents ». Et ceux qui sont en retard d’une génération sont dès lors « vulnérables à des chaînes d’exploitation commerciales. De multiples ».

Pas question pour The Grugq d’ignorer les failles de la cuirasse d’Android, relevant que la plupart des appareils l’exécutant « peuvent trivialement être infestés avec des maliciels venant du PlayStore ou de tiers ». Mais selon lui, « il est très rare de voir une chaîne Android complète qui fonctionne sur un large éventail de terminaux ».

Pour x0rz, il convient toutefois d’éviter les jugements à l’emporte-pièce : « le marché des vulnérabilités iOS est si tendu que les exploits prolifèrent désormais. Mais il a fallu des années de recherches avant cela ». Et le Dr. Vesselin Vladimirov Bontchev d’abonder : « tout dépend du modèle de menace. Je préfère être vulnérable à un acteur malicieux qui peut dépenser des millions de dollars pour des [vulnérabilités inédites] qu’à un qui peut téléverser des quantités d’applications transformées en chevaux de Troie sur le Store ». Kaspersky vient d’ailleurs encore de faire l’illustration de ce risque.

Et c’est bien de cette question de modèle de menace qu’il s’agit en définitive, comme acquiesce x0rz. D’ailleurs, The Grugq ne dit pas autre chose : « il y a beaucoup de profils de risque. De nombreux modèles de menace. Aucune solution n’est parfaite pour tout le monde ».