iOS 8, un premier pas vers la protection des données personnelles ?

Sécurité du Cloud
iOS 8, un premier pas vers la protection des données personnelles ?

Présentée début juin lors de la traditionnelle conférence du WWDC, la version 8 d’iOs apporte comme chaque mise à jour majeure son lot de nouveautés. Contrairement au passage d’iOs 6 vers iOs 7 qui était surtout l’occasion d’une refonte graphique, les changements sont plus portés sur le fond que sur la forme. On retrouvera donc l’interface « Flat » à laquelle on est désormais habitué, avec un certain nombre d’améliorations ou de nouvelles fonctionnalités que nous allons vous décrire rapidement. Bien entendu nous nous attarderons surtout sur les impacts en terme de sécurité, et nous allons voir qu’ils sont assez nombreux.

L’adresse Mac devient aléatoire en Wifi

Commençons par une nouveauté plutôt discrète qui n’a pas été présentée lors de la conférence, mais qui a fait beaucoup de bruit par la suite : l’adresse MAC de l’iPhone sera générée de façon aléatoire lorsque l’appareil sera à la recherche d’un réseau Wifi, masquant donc l’adresse MAC réelle. Ceci afin d’empêcher certaines sociétés de suivre à la trace les possesseurs d’iPhone ou iPad grâce à cette adresse MAC. Une très bonne chose donc, même si on peut se demander si ce n’est pas tout simplement un moyen détourné de promouvoir iBeacon, le protocole de géolocalisation propre à Apple et déjà déployé dans certains Apple Stores…

Homekit et Healthkit, des hubs numériques pour la maison et la santé

Nous parlions des objets connectés dans un précédent article (http://www.advens.fr/blog/connected-conference-18-19-juin-paris), dans lequel nous annoncions que le smartphone risquait bien de s’imposer comme LE hub pour la connexion des capteurs. C’est confirmé par iOs 8 qui intégrera de base Homekit et Healthkit, des applications qui permettront de se connecter nativement aux appareils compatibles. Apple surfe donc logiquement sur la vague du Quantified Self et de la démocratisation de la Domotique, mais on peut déjà se poser quelques questions en terme de sécurité. En effet avec Healthkit l’iPhone concentrera alors un certain nombre de données de santé, dont le caractère est par définition très sensible ; de même Homekit permettra de piloter à distance la lumière, les portes ou encore les caméras d’une maison. Les conséquences d’une mauvaise sécurisation de ces nouveaux hubs numériques sont évidentes… et assez effrayantes il faut l’avouer.

Le contextuel, une nouveauté à suivre

Le contextuel fait aussi son apparition dans iOs 8. Qu’est-ce que c’est exactement ? Au lieu d’avoir un écran d’accueil et des applications « fixes », l’idée est d’afficher des informations en fonction de ce dont vous avez besoin. Par exemple vous êtes sur la route vers votre travail, votre Smartphone vous affichera automatiquement le trajet et l’état du trafic. Sur iOs 8 ça se concrétise par l’accès à vos contacts récents, un clavier « prédictif » ou encore une recherche Spotlight contextuelle plus poussée, mais cela reste assez maigre comparé à ce qui existe déjà sur Android (voir http://everything.me/ par exemple). On peut toutefois espérer que ces nouveautés sont un 1er pas et que les prochaines mises à jour d’iOs offriront de plus grandes possibilités.

iCloud Drive, le stockage en ligne à la mode Apple

On connaissait déjà iCloud, très pratique pour sauvegarder les données de son téléphone et synchroniser des documents en ligne. Ce service évolue avec iCloud Drive, l’équivalent d’un Dropbox made in Apple. Il sera donc désormais possible de synchroniser n’importe quel fichier, et pas seulement les photos ou les données d’applications compatibles. Là encore cela soulève une certaine inquiétude, notamment par rapport à la localisation des données qui seront stockées dans les datacenters d’Apple aux Etats Unis, et leur sécurisation. On sait Apple assez attentif sur ce sujet, mais le Cloud reste un sujet sensible, en particulier dans un environnement professionnel.

Touch ID s’ouvre un peu plus

Le capteur biométrique de l’iPhone 5s, baptisé « Touch ID » avait déjà fait l’objet de plusieurs articles sur notre blog ici et ici. Comme nous l’avions pressenti, il sera bientôt utilisable pour autre chose que déverrouiller son iPhone : avec iOs 8 Touch Id sera ouvert aux applications tierces. Par exemple on peut imaginer qu’au lieu de rentrer son mot de passe Paypal on aura simplement à poser son doigt pour réaliser un paiement. C’est un pas de plus vers un confort d’utilisation amélioré, mais il faudra s’assurer que les données personnelles, et en particulier les données biométriques, ne seront pas accessibles à ces applications. Assez peu de détails ont été présentés, mais on sait déjà  que cela fonctionnera à la manière du mécanisme OAuth. L’application 1Password est d’ailleurs l’une des 1ères à illustrer cette fonctionnalité.

Des nouveautés pour les entreprises

Les entreprises ne sont pas oubliées, avec tout un tas de fonctionnalités qui visent à faciliter la gestion de flottes d’iPhone ou iPad, et à les sécuriser. Le « Device Enrollement Program » permet de gérer des appareils à distance, et par exemple d’y appliquer une politique de sécurité. Les administrateurs pourront également gérer finement le droit de certaines applications à accéder à iCloud Drive. iOs 8 supportera (enfin) S/MIME pour pouvoir échanger des mails de façon sécurisée. Enfin d’autres nouveautés un peu plus « pratiques » comme l’affichage des agendas de nos collègues dans le calendrier ou la protection de certaines apps par mot de passe.

Timothé Coulmain, Consultant Sécurité, Advens