Jonathan Zdziarski s'est fait connaitre en tant que NerveGas, membre de l'illustre Dev-Team du temps des premiers jailbreak d'iPhone. Il est aujourd'hui l'un des sinon le plus grand expert en sécurité pour iOS. Il a notamment offert ses services à la police scientifique, à l'armée et à des agences fédérales américaines, pour lesquelles il a développé des méthodes validées par la justice.
Il est intervenu vendredi dernier à la conférence HOPE X (Hackers on planet Earth) pour se livrer à de lourdes révélations dans le domaine de l'espionnage à grande échelle.
« Apple a travaillé dur pour prémunir les appareils iOS des attaques classiques tout en s'octroyant un accès aux données pour le compte des forces de l'ordre, » a reconnu Jonathan Zdziarski. Mais bien qu'il considère qu'iOS 7 reste le plus sécurisé des intrusions, il affirme qu'il l'est à l'exception de celles des agences fédérales... et désormais d'Apple.
Il a effectivement découvert une panoplie de backdoors plus graves encore que la fameuse technique DROPOUTJEEP révélée fin 2013 par le Spiegel. On avait appris que les données personnelles n'étaient pas aussi sécurisées que prévu. Une vulnérabilité délibérée permettant d'extraire d'un iPhone ou d'un iPad la plupart des données personnelles, mais requérant un accès physique à l'appareil (via USB ou Wi-Fi) et clairement destinée aux forces de l'ordre pour des suspects ciblés.
La majorité des données personnelles exposées
On ne peut pas en dire autant des nouvelles failles qu'il a repérées, des services non documentés qui permettent d'accéder à toutes sortes de données personnelles.Le service com.apple.pcapd — probablement pour packet capture daemon, littéralement démon de capture des paquets — n'est ni plus ni moins qu'un aspirateur de paquets ouvert à tous. Il permet à n'importe qui d'intercepter tous les échanges réalisés par un iPhone ou un iPad sur les réseaux IP. Les aspirateurs de paquets sont des outils courants, pouvant être utilisés à des fins de diagnostic, mais c'est alarmant qu'il soit constamment opérationnel et accessible à tous sur la totalité des terminaux iOS.
Le service com.apple.mobile.file_relay permet quant à lui d'exfiltrer des fichiers, comme son nom l'évoque, en passant outre le chiffrement théoriquement en place. Il permet d'obtenir les bases de données SQLite du carnet d'adresses, du carnet de notes et du calendrier, avec possibilité de restaurer des éléments supprimés, de récupérer les messages (SMS, MMS et iMessage) et la messagerie vocale visuelle, les photos et vidéos, l'historique des géolocalisations, et d'une manière générale toutes les métadonnées du système de fichiers, c'est-à-dire les noms de fichiers, les tailles et les dates d'accès, desquels on peut déduire beaucoup d'informations telles que le nom des comptes configurés (email, réseaux sociaux).
Dans le même registre com.apple.mobile.house_arrest, initialement limité et utilisé pour échanger des fichiers avec des applications tierces via iTunes, a considérablement étendu son périmètre. En plus du dossier Documents, il a désormais accès sans chiffrement aux dossiers Library et Caches, desquels on peut notamment extraire le code de verrouillage ou les captures d'écran des dernières applications lancées.
D'autres services encore — aux noms explicites de com.apple.iosdiagnostics_relay, com.apple.syslog_relay et com.apple.mobile.installation_proxy — relaient en temps réel l'activité de l'utilisateur et permettent d'installer silencieusement des applications pouvant s'exécuter en arrière-plan.
Tous ces services ne sont accessibles via IP (USB ou Wi-Fi, mais vraisemblablement pas en cellulaire) que depuis un ordinateur autorisé, mais il est très facile d'intercepter ou de générer une configuration de jumelage.
Apple dément mais ne convainc pas
Interpelé par de multiples relais dans la presse, Apple a livré hier une déclaration officielle. La société réaffirme qu'elle n'a « jamais travaillé avec aucune agence gouvernementale d'aucun pays pour créer une porte dérobée dans aucun de ses produits ou services ». Elle assure en l'occurrence que les services repérés ont vocation à « fournir des informations nécessaires aux développeurs, aux départements informatiques des entreprises et à Apple pour la résolution de problèmes techniques, » et qu'« aucune donnée n'est jamais partagée sans l'aval de l'utilisateur ».Jonathan Zdziarski a dans la foulée démonté chacune de ces assertions.
Il constate pour commencer qu'Apple reconnait par élusion qu'iOS dispose bien de ces backdoors. Mais il indique que tous ces services fonctionnent même si l'utilisateur a désactivé le partage des données de diagnostic, et qu'ils ne sont utilisés par aucun des logiciels d'Apple (ni iTunes, ni Xcode, etc.).
Enfin il souligne à juste titre que ces prétendues opérations de diagnostic n'ont aucune raison de dispenser de chiffrement, mais aussi et surtout que toutes les données personnelles affectées n'ont aucun rapport avec la résolution de problèmes techniques.
24 heures après la publication de ce billet, Apple n'avait pas donné suite. On peut malheureusement craindre qu'il ne le fera pas et espèrera noyer le poisson.