Apple a lancé l’idée de fournir des iPhone piratables aux chercheurs en sécurité lors de la conférence sur le piratage, Black Hat, de 2019 à Las Vegas. Presque exactement un an plus tard, le programme Security Research Device (SRD) d’Apple a fait de l’iPhone piratable une réalité. Si c’est surtout une bonne chose, tout le monde n’est pas heureux du côté des hackers. Jetons un coup d’œil à cet iPhone piratable.

Le programme Security Research Device d’Apple expliqué


Apple a longtemps eu la réputation de verrouiller l’iPhone du point de vue de la sécurité. Ce qui est une bonne chose pour les consommateurs, car cela rend le piratage beaucoup plus difficile et est devenu un argument de vente important par rapport à certains concurrents comme Android, par exemple. Le fait de ne pas pouvoir arrêter le processeur et inspecter la mémoire de l’iPhone pour détecter les vulnérabilités n’est pas une si bonne chose si vous êtes un hacker. Les hackers, c’est-à-dire les chercheurs en sécurité, qui passent leur temps à essayer de casser des choses pour pouvoir les réparer avant que les méchants n’aient l’occasion de faire de mauvaises choses. Les pirates de l’iPhone n’ont pas la possibilité d’avoir un « œil » au niveau du code lorsqu’ils attaquent iOS ou une application qui tourne dessus. Mais plus maintenant, du moins pour quelques chanceux.

Avec le lancement, le 22 juillet, du programme SRD d’Apple, les chercheurs en sécurité pourront aller chercher des bugs beaucoup plus profondément dans iOS. Apple a déclaré que les iPhones, qui seront exclusivement dédiés à ce travail, et connus sous le nom de dispositifs de recherche en sécurité, seront livrés « avec des politiques uniques d’exécution de code et de contrôle ». Cela signifie, par exemple, que le système de fichiers sera accessible pour inspection plutôt que de se contenter de regarder les instantanés des journaux de bord ou d’utiliser des appareils cassés. Ces derniers sont loin d’être parfaits, car les vulnérabilités sont généralement corrigées rapidement, et toute recherche est donc plus facilement rejetée par Apple comme étant défectueuse.

Dans quelle mesure cet iPhone est-il ouvert aux « attaques » ?

Si des émulateurs iOS virtualisés sont disponibles, comme Corellium, qui a fait l’objet d’un litige avec Apple, c’est la première fois que des chercheurs en sécurité ont accès à la réalité en ce qui concerne le piratage de l’iPhone. Ou, du moins, une version de la réalité.

« L’accès à Shell est disponible, et vous pourrez utiliser n’importe quel outil et choisir vos droits », indique l’annonce d’Apple. Néanmoins, dans le cas contraire, le SRD se comportera autant que possible comme un iPhone standard, de sorte que la recherche reste représentative. Les autorisations d’exécuter du code qui serait généralement bloqué par iOS sont une bonne chose, bien sûr, tout comme la possibilité de mieux inspecter le fonctionnement des applications tierces. Ce qui ne semble pas être ouvert aux pirates, ce sont des choses comme le firmware, ou le matériel lui-même, ou la puce de sécurité personnalisée, etc.

Le SRD n’est pas, comme certains l’ont suggéré, l’iPhone « dev-fusionné » utilisé par les propres développeurs d’Apple. Les pirates qui accèdent au programme SRD obtiennent en fait un iPhone léger « dev-fusionné », ce qui facilite la recherche de vulnérabilités dans les applications et les services destinés aux utilisateurs. Les SRD ne seront pas d’une grande aide pour découvrir les problèmes de base du noyau d’iOS.

Comment obtenir un appareil iPhone piratable ?

Les SRD ne sont distribués qu’aux pirates informatiques inscrits au programme, et l’acceptation est soumise à l’examen d’Apple. Vous devez être déjà inscrit au programme de développement Apple, être en mesure de prouver que vous avez découvert des problèmes de sécurité, mais que vous n’avez pas été employé par Apple pour le moment ou au cours des 12 derniers mois. Il existe également des restrictions concernant le pays dans lequel vous êtes basé, et même l’âge, de sorte que les personnes de moins de 18 ans ont peu de chances d’être acceptées. Et les places sont limitées, la prochaine période de candidature n’étant pas avant 2021.

Si vous entrez dans le programme, vous recevrez un DRS en prêt pendant 12 mois et uniquement pour une utilisation dans un cadre de sécurité strictement contrôlé. Cela signifie que les iPhone ne peuvent pas être utilisés à titre personnel, ni même en dehors des locaux des participants au programme.

Alors, qu’est-ce qui est controversé dans le programme SRD d’Apple ?

Le plus grand problème du programme SRD semble être les restrictions concernant les rapports de vulnérabilité. « Si vous utilisez le SRD pour trouver, tester, valider, vérifier ou confirmer une vulnérabilité, vous devez rapidement la signaler à Apple et, si le bug se trouve dans un code tiers, à la tierce partie appropriée », indique la note sur les exigences. Ce qui est bien. Pas si bien, selon certains, c’est la partie qui dit qu’une fois signalé « Apple vous fournira une date de publication (généralement la date à laquelle Apple publie la mise à jour pour résoudre le problème) » et « travaillera de bonne foi » pour résoudre la vulnérabilité dès que possible. L’accord de prêt empêche le chercheur en sécurité de discuter de la vulnérabilité avec d’autres personnes, comme nous les médias, jusqu’à cette date de publication.

Le responsable technique du Projet Zéro de Google, Ben Hawkes, a déclaré sur Twitter qu’il ne pourrait probablement pas participer à cause de ces restrictions de divulgation, qui « excluent le Projet Zéro et les autres chercheurs qui utilisent une politique de 90 jours ».

Le Projet Zéro est l’un des chasseurs de vulnérabilité les plus prolifiques en matière de produits Apple. Hawkes a déclaré qu’il a « signalé plus de 350 vulnérabilités de sécurité à Apple » au cours des cinq dernières années. Bien que cette chasse aux bugs et ces rapports se poursuivent, a tweeté Hawkes, il a avoué être “assez déçu” de l’approche du programme SRD.

Et le Projet Zéro de Google n’est pas le seul organisme de recherche de haut niveau à avoir des réserves quant aux conditions de divulgation de la vulnérabilité. ZecOps a également tweeté qu’il n’utilisera pas le SRD, mais continuera néanmoins à signaler les bogues à Apple.

En disant que ZecOps voit fréquemment des attaques ciblées sur les utilisateurs d’iOS, il a tweeté qu’au lieu des SRD, il encouragerait Apple à ajouter la possibilité d’envoyer les journaux système et les événements à un serveur de journalisation distant à la place, ainsi que la liste des fichiers de configuration que les logiciels malveillants utilisent souvent.

Si vous souhaitez poser votre candidature pour participer au programme SRD et obtenir un iPhone piratable, vous pouvez le faire ici.

 

Article traduit de Forbes US – Davey Winder 

<<< À lire également : Ces Nouvelles Fonctionnalités Sur Le Prochain iPhone >>>