iMessage et son chiffrement, ont été mis à l’épreuve il y a quelques jours par un groupe d’experts en sécurité. Le service utilisé sur tous les appareils mobiles d’Apple n’est pas aussi sécurisé qu’on le pensait.
Apple a beau avoir fait de la protection des données de ses clients sa nouvelle priorité, son protocole iMessage serait encore loin du niveau de fiabilité auquel on pourrait s’attendre. Son chiffrement a été testé récemment par des experts, qui ont fait un constat très décevant pour la marque.
Chiffrement insuffisant pour iMessage
Depuis des années maintenant, Apple se vante du niveau de sécurité offert au consommateur par iMessage, la solution qui remplace les MMS/SMS sur les appareils de la marque. Pourtant, d’après le test réalisé dans le cadre de la conférence Usenix, qui a lancé une « Ciphertext Attack », des failles assez importantes existent. Grâce à leur attaque, ils ont apparemment découvert une faille permettant de déchiffrer toutes les conversations d’un appareil, tant qu’un correspondant reste connecté. Les conversations récentes d’un utilisateur iMessage pourraient donc être analysées (en passant par une récupération de certificats TLS), mais pas seulement : à cause d’une rotation trop rare des clefs de chiffrement, l’historique des conversations pourrait être ouvert avec une simple sauvegarde iCloud.
Des correctifs insuffisants
Cette révélation de failles arrive alors qu’Apple avait assuré avoir corrigé des problèmes liés à iMessage dans ses mises à jours récentes. Des correctifs apportés à iOs9.3 et OS X 10.11.4 auraient du refermer ces failles constatées par les chercheurs. La firme s’attaquera certainement très rapidement à ce problème, qui heureusement ne semble réellement exploitable « que » par des hackers de gros calibre, du genre sponsorisé par les états.