Les nouvelles révélations sur Pegasus, le malware qui a servi à espionner des milliers de journalistes, militants, dirigeants et politiques du monde entier, ne font ni les affaires des États commanditaires, ni celles de son créateur NSO Group, ni celles d'Apple. Si les smartphones Android ne sont pas épargnés eux non plus, la réputation de sécurité de l'iPhone en prend un sacré coup : parmi ses faits d'arme, NSO est notamment parvenu à pirater des iPhone à distance sans aucune interaction de la part des victimes.
« NSO est un exemple d’entreprise où des dizaines de personnes – voire plus – sont chargées de rechercher de nouvelles façons de cibler une plateforme. À moins d’avoir des ressources en développement et en sécurité d’une magnitude supérieure, vous ne pourrez pas anticiper leurs mouvements », explique John Scott-Railton, chercheur en sécurité pour Citizen Lab, au journal Le Monde.
Apple a répondu que ses effectifs dédiés à la sécurité d'iOS ont été multipliés par quatre en cinq ans, mais cela n'empêche manifestement pas les trous dans la raquette. « Il y a un déséquilibre fondamental des pouvoirs quand des centaines de personnes – voire des milliers en tant que contractuels ou free-lances – sont employées pour consacrer leurs journées et leurs nuits à chercher des failles logicielles », appuie Claudio Guarnieri, expert en sécurité informatique pour Amnesty International. Dans le même temps, les ingénieurs d'Apple comblent ces failles, mais ils en ajoutent aussi malencontreusement en touchant aux arcanes complexes du système.
Le bétonnage d'iOS, Apple ne peut pas le réaliser toute seule. Elle doit s'appuyer sur la communauté des chercheurs en sécurité et les encourager à lui révéler à elle les failles trouvées plutôt qu'à NSO. C'est en ce sens que la Pomme a ouvert un programme de primes de sécurité en 2016 et leur propose depuis l'année dernière un iPhone spécialement conçu pour la recherche de failles.
iOS 14 a introduit un nouveau mécanisme de sécurité, BlastDoor, censé éviter que des contenus vérolés présent dans iMessage n'infectent le système et puis espionnent l'utilisateur à son insu. Mais il y a un problème : « nous avons observé le déploiement de Pegasus via iMessage sur la dernière version d’iOS, il est donc clair que NSO peut déjouer BlastDoor », soutient Bill Marczak, chercheur au Citizen Lab.
Interrogée par le consortium de médias enquêtant sur Pegasus, Apple a affirmé améliorer en permanence la sécurité de l'iPhone et d’iMessage, mais une mise à jour de sécurité d’urgence d'iOS 14, comme cela arrive parfois, n’est pas prévue. iOS 15, en cours de bêta test, pourrait corriger une partie des vulnérabilités.
« Apple condamne sans équivoque les cyberattaques visant les journalistes, les militants des droits de l’homme, et tous ceux qui travaillent à un monde meilleur, déclare Ivan Krstic, un des responsables de la sécurité chez Apple. Depuis plus d'une décennie, Apple mène l'innovation dans le domaine de la sécurité, et par conséquent les chercheurs s'accordent à dire que l'iPhone est l'appareil mobile grand public le plus sûr et le plus sécurisé sur le marché. »
« Les attaques décrites [dans l’enquête sur Pegasus] sont hautement sophistiquées, coûtent des millions à développer, ont souvent une durée de vie limitée et sont utilisées pour cibler des personnes très spécifiques », ajoute l’expert, qui tente par la même occasion de rassurer le quidam.