Apples énorme erreur iPhone Nouvel avertissement pour 1 milliard d’utilisateurs

Apple a un problème très grave qui est soudainement devenu un problème majeur, sapant les affirmations concernant les informations d’identification de sécurité et de confidentialité de l’iPhone. Il s’avère que ce qui se passe sur votre iPhone ne toujours restez sur votre iPhone après tout.

J’ai déjà mis en garde contre la faille dangereuse de la sécurité de l’iPhone d’Apple en ce qui concerne les messages privés envoyés entre ses plusieurs milliards d’utilisateurs. La confidentialité est intégrée dès le début, Apple dit. De puissantes fonctions de sécurité aident à empêcher quiconque, sauf vous, d’accéder à vos informations. Si seulement c’était aussi clair. Maintenant, un nouvel avertissement d’une source très surprenante a défrayé la chronique.

iMessage est le messager crypté de bout en bout d’Apple. Conçu pour concurrencer WhatsApp, il semble d’avoir la même sécurité, mais uniquement lors de la communication au sein de l’écosystème Apples. Envoyez un message à un utilisateur Android et vous vous rabattez sur les SMS, ce qui est inacceptable en 2021, vous en reparlerez plus tard. Mais même lorsque vous pensez que vous êtes en sécurité, vous vous trompez probablement. iMessage a une capture alarmante.

Le problème est iCloud et les sauvegardes générales que vous effectuez à partir de votre iPhone. Si vous utilisez les paramètres recommandés par défaut d’Apple, vous exécutez Messages dans iCloud, ce qui signifie que vous synchronisez vos messages sur tous vos appareils, et vous exécutez également une sauvegarde iCloud générique, ce qui signifie que vous enregistrez une copie des données et des paramètres de votre téléphone sur le cloud Apple.

C’est là que ça se complique. iMessage est sécurisé par un cryptage de bout en bout, l’idée étant que les clés pour décrypter les messages entre vous et ceux que vous envoyez sont seul partagé entre vous. Cela empêche quiconque d’intercepter votre contenu. Mais dans une tournure bizarre, Apple stocke une copie de ces clés de cryptage dans cette sauvegarde iCloud, à laquelle il peut accéder. Cela signifie que le cryptage de bout en bout est en fait assez inutile.

Cette question a été soulevée cette semaine, avec le publication d’un document sensible du FBI qui indique sur quelles plateformes de messagerie ses agents peuvent accéder le plus facilement. Le problème d’iMessage était au premier plan : si la cible utilise la sauvegarde iCloud, les clés de chiffrement doivent également être fournies avec [lawful access] retour de contenu ; peut également acquérir des iMessages à partir des retours iCloud si la cible a activé les messages dans iCloud.

En matière de sécurité, les garanties de WhatsApp sont claires : nous utilisons un cryptage de bout en bout afin que personne ne puisse lire ou écouter vos conversations personnelles. Le libellé des pommes est différent et la nuance est critique. Le cryptage de bout en bout protège vos conversations iMessage sur tous vos appareils, dit-il, de sorte qu’il n’y a aucun moyen pour Apple de lire vos messages lorsqu’ils sont en transit entre les appareils.

Ce libellé en transit est essentiel. Il est tout à fait exact que lorsque les messages voyagent entre les téléphones, ils sont hautement sécurisés, mais sur l’appareil et sauvegardés dans le cloud, cela change. Ce problème devient rapidement le plus critique pour la messagerie sécurisée.

Malgré ses assurances plus claires, WhatsApp n’a pas bien fait, le FBI affirmant qu’il peut demander des listes de contacts et des métadonnées envoyées toutes les 15 minutes sur qui envoie des messages à qui. Il peut également accéder au contenu du message si la cible utilise un iPhone et si les sauvegardes iCloud sont activées, les retours iCloud peuvent contenir des données WhatsApp pour inclure le contenu du message.

La nouvelle fonctionnalité de sauvegarde cryptée de WhatsApp est conçue pour résoudre ce problème précis, et WhatsApp conseille même pendant le processus d’installation que les utilisateurs doivent la supprimer de iCloud sauvegardes. Il s’avère que le petit paramètre de sauvegarde iCloud est une mauvaise nouvelle pour la messagerie privée tout autour d’une vulnérabilité majeure qu’Apple doit résoudre de toute urgence.

Sans surprise, Signal sort le mieux sur le document : pas de contenu de message, [just] les données et l’heure à laquelle un utilisateur s’est enregistré [and] date de dernière connexion d’un utilisateur au service. Signal évite toutes les options de sauvegarde sur l’appareil et ne capture aucune métadonnée du tout. Essentiellement, si les données n’existent pas, elles ne peuvent pas être fournies.

Il est impossible de remettre des données auxquelles nous n’avons jamais eu accès en premier lieu, Signal dit. Signal n’a pas accès à vos messages ; votre liste de discussion ; vos groupes ; vos contacts; vos autocollants ; votre nom de profil ou avatar ; ou même les GIF que vous recherchez.

Si vous souhaitez garder votre messagerie privée, mon conseil est d’utiliser WhatsApp comme votre quotidien, compte tenu de son échelle, mais assurez-vous d’utiliser des sauvegardes cryptées et de ne pas activer l’option de sauvegarde iCloud. Vous devez absolument utiliser Signal là où vos contacts ont également l’application. Si vous êtes un utilisateur Android, vous pouvez définir Signal comme messagerie par défaut, de sorte qu’il gère également les SMS, ce qui constitue une excellente option.

Cela n’a pas été une bonne année pour Apple et sa plateforme iMessage. Le stockage des clés de chiffrement dans des sauvegardes accessibles est une erreur, mais il en a également commis deux autres, qui réduisent considérablement la sécurité et la confidentialité d’iMessage.

D’abord, La décision d’Apple d’éviter le déploiement coordonné de RCS par Google sur Android est un mauvais coup pour les utilisateurs. Cela signifie que les utilisateurs d’Apple qui envoient des messages à leurs contacts Android, ou vice versa, doivent revenir à une plate-forme tierce comme WhatsApp ou utiliseront par défaut des SMS non sécurisés, une situation folle pour 2021.

Google a gentiment poussé Apple à intégrer cette mise à niveau SMS v2, et nous en avons vu plus récemment avec un Mise à jour de Google Messages qui traduit les réponses de l’émoticône iMessage en quelque chose de similaire sur un appareil Android. C’est assez pitoyable en tant que geste symbolique pour l’interopérabilité multiplateforme, mais cela fait le point.

Deuxièmement, Apple a également fait un faux pas dans sa décision de ajouter un classificateur AI sur l’appareil à iMessage pour avertir les mineurs envoyant ou recevant des images explicites. Bien que cela ne viole pas techniquement le cryptage de bout en bout, cela ouvre une porte dérobée aux interférences extérieures au sein de l’enclave de messagerie sécurisée globale et a été fortement critiqué par les défenseurs de la sécurité et de la confidentialité.

Et n’oublions pas Pégaseportail, où un compromis iMessage a été impliqué dans des attaques sans clic contre des utilisateurs Apple qui auraient été perpétrées à l’aide de la technologie NSO. Apple dit avoir corrigé ces vulnérabilités dans iOS 15, mais cela a néanmoins été dommageable.

C’est une période intéressante pour la messagerie sécurisée. Il n’y a jamais eu autant de prise de conscience de la valeur de la préservation de la confidentialité en utilisant la sécurité de bout en bout, mais en même temps, il n’y a jamais eu plus de pression sur les fournisseurs de technologies pour ouvrir ces plates-formes aux forces de l’ordre. La publication de ce document du FBI montre que malgré les protestations de législateurs plus bellicistes, il existe encore aujourd’hui une bonne quantité d’accès aux données.

Pegasus et cette révélation d’accès licite concernent la compromission des terminaux. Qu’elles soient sur l’appareil et exploitées par des logiciels malveillants, ou sauvegardées dans le cloud, une fois que les données chiffrées de bout en bout atteignent l’une de ces extrémités, vous devez veiller à ce qu’elles soient sécurisées. Et cela signifie protéger votre appareil et être attentif à ce que vous sauvegardez où.

Pendant ce temps, pour Apple et son USP de sécurité et de confidentialité, il s’agit d’un autre ensemble de titres maladroits dont il pourrait vraiment se passer. J’ai contacté Apple pour tout commentaire sur le document du FBI et ses graves implications pour le milliard d’utilisateurs d’iPhone.

La dure vérité est qu’Apple doit changer son approche iCloud de toute urgence, cesser de stocker les clés de cryptage et éviter de sauvegarder les données cryptées de bout en bout à moins que sa protection ne soit maintenue ou que les utilisateurs aient été spécifiquement avertis que leur vie privée est étant compromis. Cette mise à jour est désormais critique.