« Les conversations qui se déroulent sur iMessage et FaceTime sont protégées par un chiffrement de bout en bout qui empêche quiconque en dehors de l'expéditeur et du destinataire de les lire. Apple ne peut pas déchiffrer les données. » Voici ce qu'on peut lire dans
un communiqué d'Apple publié en réaction au scandale du programme de surveillance généralisé PRISM (lire :
PRISM : Apple assure protéger la vie privée de ses utilisateurs).
Pourtant, d'après Cyril Cattiaux, Apple est bien en mesure de lire les iMessages. Plus connu sous le pseudo de
pod2g, le hacker qui
a participé au jailbreak d'iOS 6 va donner une présentation avec le chercheur « GG » sur iMessage le mois prochain dans le cadre de la conférence
Hack In The Box. Le sujet : « Comment Apple peut lire vos iMessages et comment vous pouvez vous en prémunir ».
pod2g, qui travaille depuis mai comme ingénieur R&D en sécurité chez QuarksLab, et son complice vont expliquer comment réaliser une attaque
man in the middle, c'est-à-dire se placer entre l'émetteur et le récepteur.
TechCrunch a pu interviewer pod2g avant la présentation.
Il indique que la faille de conception qui permet à Apple d'intercepter et de lire les iMessages se situe au niveau du protocole. Autrement dit, tous les appareils sont concernés : iPhone, iPad, iPod touch et Mac. Un
tweak pour les terminaux iOS jailbreakés et une application Mac comblant la faille seront mis à disposition après la présentation. Le hacker espère qu'Apple corrigera le problème dans ses systèmes d'exploitation.
pod2g estime que seulement Apple ou une puissante organisation (il mentionne la NSA comme exemple) peuvent mettre le nez dans les iMessages, dont le protocole est robuste.
« Techniquement, nous pouvons et nous allons montrer [une interception d'iMessages], mais cela demande quelques prérequis. Dans la position d'un attaquant extérieur, le chiffrement est suffisamment fort pour pousser à réfléchir à d'autres techniques pour espionner un téléphone en particulier. Dans la position d'Apple, les choses sont vraiment différentes. »
Si Apple est en mesure d'intercepter et de lire les iMessages,
pod2g précise qu'il n'a aucun élément qui amènerait à penser qu'elle l'a déjà fait. Si l'entreprise avait espionné ses conversations, le hacker assure qu'il l'aurait vu.
