Apple minimise l'importance de la fuite d'une portion critique du code source d'iOS 9
SECURITE•Le code est important mais il a près de trois ans...
P.B.
Apple aurait sans doute préféré régler le problème en toute discrétion. Mais pour obtenir le retrait du code source iBoot d’iOS 9, mis en ligne par un internaute sur le site de programmation GitHub, Apple a été forcé d’officialiser la fuite, jeudi.
« Il semble qu’un vieux code source âgé de trois ans ait été mis en ligne. Mais la sécurité de nos produits est conçue pour ne pas dépendre de la confidentialité de notre code source. Nos produits sont conçus avec de nombreuses couches de protection matérielles et logicielles, et nous encourageons nos clients à toujours mettre à jour leur logiciel pour bénéficier des protections les plus récentes », écrit Apple.
Les jailbreakers pourraient en profiter
Cette fuite concerne iBoot, une portion d’iOS lancée au démarrage, qui authentifie notamment un iPhone et assure que toutes les étapes suivantes sont bien certifiées par Apple. Mais alors que plus de 90 % des iPhone en circulation sont sous iOS 10 ou 11, y a-t-il vraiment un risque ? Dur à dire. Comme le souligne le fabricant d’antivirus Sophos, la section du boot n’a sans doute pas changé dramatiquement entre iOS 9 et iOS 11 et pourrait donc utiliser certaines sections du code.
Certains experts prédisent que le code pourrait aider des bidouilleurs à « jailbreaker » des iPhone récents, une opération qui permet un accès complet au système et de contourner les restrictions imposées par Apple (par exemple pour installer des applis ne venant pas de l’app store officielle). Très en vogue dans les années 2010, cette pratique est devenue beaucoup plus compliquée depuis qu’Apple a installé une « enclave sécurisée » dans les puces des iPhone, en 2013.
Ce code pourrait également exposer des failles de sécurité inconnues jusqu'ici, mais sa publication pourrait aussi permettre aux chasseurs de bugs de rendre iOS plus sécurisé.
aLe développeur britannique Nullpixel affirme également que ce code circulait dans le milieu depuis plus de deux ans, et qu’il avait même été mis en ligne fin 2017 sur Reddit sans que personne n’y prête attention. Bref, la bévue ne semble pas être une catastrophe majeure.
