La sécurité dans Apple iOS 8

Comme à son habitude, Apple a dévoilé la nouvelle génération de son système d’exploitation mobile à la conférence World Wide Developers la semaine dernière. La société informatique de Cupertino (en Californie) a qualifié iOs8 de « système d’opération d’appareil mobile le plus avancé au monde ». Cette déclaration est évidemment contestable, mais la plateforme inclut des fonctionnalités de sécurité et de protection de la vie privée bien pensées en plus d’une modernisation significative de l’environnement de développement des applications.

La mise à jour de sécurité et de protection de la vie privée la plus importante est probablement aussi la moins remarquée par les utilisateurs : la randomisation des adresses MAC (Media Access Control). Les adresses MAC sont des identifiants uniques largement utilisés pour suivre les appareils et les utilisateurs à travers les réseaux Wi-Fi. Les fournisseurs suivent de façon régulière les adresses MAC afin d’en apprendre plus sur les comportements de leurs clients lorsqu’ils se connectent et interagissent avec des réseaux Wi-Fi publics. Cette pratique est problématique puisque la majorité des utilisateurs n’ont aucune idée que ce suivi a lieu et par conséquent elle ne peut y consentir, du moins au sens traditionnel du terme.

Dans iOS 8, les appareils de Apple généreront des adresses MAC aléatoires lorsqu’ils seront balayés par les réseaux Wi-Fi. Ce changement rendra impossible le repérage des mouvements et des comportements des clients par les détaillants. La randomisation des adresses MAC est une énorme amélioration au niveau de la confidentialité que les fans de Apple ne réaliseront sans doute même pas.

Permettre aux utilisateurs de mettre en place DuckDuckGo comme moteur de recherche par défaut dans Safari est une autre des améliorations au niveau de la sécurité et de la confidentialité. DuckDuckGo est un moteur de recherche alternatif qui ne recueille pas d’information sur les requêtes de recherche des utilisateurs. En plus, DuckDuckGo s’assure, lorsque c’est possible, que vous interagissez avec les sites Web de manière sécurisée à travers des connexions HTTPS chiffrées. D’une certaine façon, la recherche sur DuckDuckGo est plus organique puisqu’elle n’est pas adaptée à vos intérêts perçus, comme c’est le cas pour la majorité des autres moteurs.

Évidemment, la nouvelle génération est aussi truffée de fonctionnalités beaucoup plus utilitaires et manifestes. Les photos pourront être partagées entre tous les appareils mobiles connectés, les utilisateurs pourront ajouter facilement des éléments vocaux aux SMS (une fonction généralement remplie par les appels, non ?), et la compagnie vante sa nouvelle interface de notifications plus aérée. Évidemment, le partage des photos entre les différents appareils pourrait présenter certains risques au niveau de la confidentialité, mais cela ne semble pas problématique du point de vue de la sécurité. Par contre, quelques-unes des nouvelles fonctionnalités du clavier, le partage familial, une intégration au iCloud grandissante et l’ambition évidente de la nouvelle plateforme d’attirer le développement d’applications pourraient avoir des implications sérieuses.

La compagnie célèbre son nouveau kit de développement de logiciels (SDK) en le présentant comme le plus important depuis le lancement du App Store, avec plus de 4000 interfaces de développement d’applications (API). Si nous comprenons bien leurs communiqués de presse, ces changements, couplés à un nouveau langage de programmation d’applications, transformeront l’ App Store en environnement plus ouvert, dans une atmosphère semblable à celle de Google Play (même si la politique de présélection de Apple est toujours en place). D’un côté, cela signifie qu’il y aura plus d’applications. Mais d’un autre côté, cela veut aussi dire une plus grande exposition aux menaces. Les risques pour les utilisateurs dépendront de la façon dont Apple gérera la sécurité de ce nouvel environnement.

Un des nouveaux kits de développeurs que nous surveillerons est le  » HealthKit « . Il permettra aux développeurs de construire des applications sur la santé et le fitness capables de communiquer entre elles, partageant différents types d’informations allant des routines d’entraînement à la pression sanguine des utilisateurs. On remarque une explosion des applications de santé et fitness au cours de dernières années. Par contre, le mois dernier, la Federal Trade Commission aux États-Unis a piqué notre intérêt en publiant un rapport alléguant que ces applications de santé et fitness avaient tendance à être gourmande au moment de prélever et de partager les informations des utilisateurs. Permettre à ces diverses applications de partager ces informations entre elles, même si les utilisateurs y consentent, ne ferait que exacerber le problème. Mais pour être honnête, si la perte de quelques données personnelles signifie que vous allez faire plus d’exercice, c’est probablement un bon compromis.

 » HomeKit  » est une autre des API qui nous préoccupent. Elle permettra aux développeurs de construire des applications qui vont interagir avec la connectivité accrue et  » l’intelligence  » des maisons modernes. Si vous lisez Kapersky Daily de façon régulière, vous savez que les systèmes domotiques ne sont pas connus pour leur sécurité. Apple allègue que tout est jumelé et configuré de manière sécurisé – le cryptage est probablement utilisé – mais il est difficile d’évaluer le niveau de sécurité du HomeKit avant sa sortie sur le marché.

En sommes, cette nouvelle version semble être une révision complète de l’environnement de développement de Apple. C’est intéressant car nous aurons accès à de nouvelles applications innovantes, à des claviers extérieurs, à des widgets, etc. Par contre, c’est également inquiétant car ces innovations génèrent de plus grands espaces à pirater. Comme mentionné plus haut, si le nouvel App Store est ouvert comme l’est Android, nous verrons peut-être apparaître de nouvelles applications malveillantes.

Au-delà de ce dont nous avons déjà parlé, en utilisant le nouveau clavier  » vous verrez apparaître de nouveaux choix de mots ou de phrases basés sur vos conversations et votre style d’écriture.  » En outre,  » iOs 8 prendra en compte le style plus décontracté que vous utilisez dans vos messages ainsi que le langage plus formel que vous adoptez dans vos e-mails  » en plus de  » s’adapter à la personne avec qui vous communiquez, par exemple, votre vocabulaire sera probablement plus détendu avec votre conjointe qu’avec votre patron.  » Bref, ces nouvelles fonctionnalités, bien que très pratiques, signifient aussi que Apple emmagasinera plus d’information sur vous, ce qui pourrait porter atteinte à votre vie privée. Les capacités de stockage d’informations augmentées de iCloud impliquent que vous allez entreposer une plus grande quantité d’informations sensibles au même endroit, ce qui vous obligera à vous familiariser avec les nouvelles fonctionnalités de sécurité offertes par le service. Cela veut aussi dire que vous aurez de plus grandes possibilités de sauvegarde et de protection de vos informations sensibles.

En conclusion, la nouvelle fonctionnalité Family Share offrira aux utilisateurs la capacité de synchroniser leurs appareils avec ceux des utilisateurs membres de leur famille. Au-delà des risques encourus, ainsi que du type de contrôle parental que ce genre de configuration permet, cela ouvre la porte à une nouvelle sorte de piratage, comparable au piratage de téléphones verrouillés via iCloud. Il sera intéressant de voir s’il est possible pour un pirate de se déclarer, subrepticement, membre de la famille d’un utilisateur afin de surveiller son comportement et détourner ses données.