9 février 2018

Un code source de l'iPhone a fui , mais il ne faut pas s'inquiéter

Un code source de l'iPhone a fui , mais il ne faut pas s'inquiéter

Le code source d'une des composantes de l'iPhone a fui sur Internet cette semaine. Une brèche potentielle pour des pirates, ont rapporté plusieurs médias. Même si ces informations sont secrètes, il ne faut pas s'inquiéter outre mesure, affirme quant à elle une experte en cybersécurité.

Le code en question a été mis sur GitHub et provenait du programme iBoot. Dans le jargon, il s'agit d'un boothloader, que l'on pourrait traduire par « chargeur d'amorçage ». Ce programme sert à lancer le système d'exploitation iOS sur les téléphones iPhone. En d'autres mots, lorsqu'on clique sur l'interrupteur de son iPhone, on démarre iBoot, qui s'occupe ensuite d'ouvrir le reste de l'appareil.

La compagnie Apple a souligné à certains médias que les informations révélées sont périmées et ne devraient pas représenter de menace pour la sécurité puisqu'elles concernent la version iOS 9.

À l'heure actuelle, c'est la version 11 qui est utilisée. Il serait tout de même vraisemblable que certaines portions du code soient encore exploitées aujourd'hui dans les dernières versions du système.

L'auteur de la fuite n'est pas connu. Le code a finalement été retiré de la plateforme GitHub.

Quatre mois plus tard
Si une telle fuite de code peut frapper l'imaginaire, les propriétaires de cellulaire iPhone ne devraient pas s'inquiéter outre mesure dans ce contexte, croit Geneviève Lajeunesse, directrice des opérations à Crypto.Québec. Les codes sources sont secrets principalement par souci de propriété intellectuelle et non par souci de sécurité. Il est fort peu probable que ces données puissent être utilisées à mauvais escient.

Les données qui ont fui cette semaine étaient déjà disponibles depuis quatre mois. Une fuite identique a eu lieu sur la plateforme Reddit cet automne. Elle n'avait alors pas attiré l'attention des médias, souligne madame Lajeunesse. « Ça fait des mois que ça se passe sous la couverture », dit-elle, soulignant qu'aucune faille de sécurité ne semble avoir été découverte depuis.

Les raisons pour lesquelles ça a fait les manchettes, c'est qu'Apple, en demandant son retrait, a validé que c'était le vrai code.

Geneviève Lajeunesse, directrice des opérations chez Crypto.Québec

Qu'est-ce que le déverrouillage (jailbreaking)
Ces informations seront utiles pour la communauté des jailbreakers, que l'on peut traduire par « déverrouilleurs ». Le déverrouillage est un processus qui permet d'obtenir un accès à toutes les fonctionnalités d'un système d'exploitation. Cela permet d'installer ensuite toutes sortes d'applications ou extensions qui ne sont pas offertes dans la boutique officielle d'Apple.

Pour faire du déverrouillage, il faut avoir physiquement le cellulaire avec soi. Ensuite, il faut y trouver des failles dans le système de codes du cellulaire. La fuite de cette semaine pourrait faciliter cette dernière étape.

C'est du code qui va être vraiment utile pour une petite communauté qui aime trouver des façons d'aller exploiter les systèmes d'exploitation.

Geneviève Lajeunesse, directrice des opérations chez Crypto.Québec

Il est même possible de faire un peu d'argent et de rendre service aux compagnies grâce au déverrouillage. La compagnie Apple est prête à rémunérer toutes personnes qui lui rapportent un bogue ou une simple vulnérabilité dans ses systèmes d'exploitation. Les codes sources de plusieurs de leurs appareils sont déjà complètement publics.

Une sécurité qui commence par soi-même
La meilleure façon de sécuriser son appareil, c'est d'éviter de divulguer ses codes et mots de passe, rappelle Geneviève Lajeunesse. Les règles de bases de la sécurité informatiques demeurent, qu'il y ait une fuite de code source ou non.

« De façon générale, quand quelqu'un fait une intrusion informatique, c'est rare que c'est un super pirate. C'est souvent un ex-conjoint fâché qui connaît notre mot de passe », indique-t-elle.

Les mises à jour des systèmes d'exploitation ne doivent cependant pas être négligées. « C'est intempestif, on n'aime pas ça. Mais c'est vraiment important de les faire. Il y a toujours des correctifs de sécurité et c'est toujours sérieux. »

Une personne qui a fait ses mises à jour depuis la fuite aura encore moins de raison de s'inquiéter, ajoute-t-elle en terminant.


Source : SRC
Tous droits réservés © Prodige Média – 2017 - 2024
Politique de confidentialité | Termes et conditions