La NSA aurait accès aux données de tous les utilisateurs iPhone

Mobilité
La NSA aurait accès aux données de tous les utilisateurs iPhone

Etant moi-même possesseur d'un iPhone 5s je rédige cet article avec une certaine amertume. Nous vous avions déjà parlé il y a quelques semaines sur ce blog des problématiques autour du capteur d'empreintes digitales de l'iPhone 5s, qui même s'il a rapidement été "contourné" par un groupe de hackers, propose à priori un stockage local et sécurisé des données biométriques. Mais il apparaît aujourd'hui que la NSA dispose d'un outil dont les possibilités font froid dans le dos.

En effet plusieurs documents de la NSA (qui a décidément du mal à garder ses documents secrets en ce moment) ont été dévoilés récemment par Jacob Applebaum, un chercheur en sécurité américain (Source : http://www.forbes.com/sites/erikkain/2013/12/30/the-nsa-reportedly-has-total-access-to-your-iphone/).

Ces documents décrivent DROPOUT JEEP, une application (ou plutôt un malware) qui s'installe sur les iPhones, et qui leur permet d'accéder à presque toutes les informations qui rentrent ou sortent de votre iPhone : SMS, mail, appels, géolocalisation, appareil photo, ... Ce malware s'installerait à distance sur les iPhones puisque la NSA annonce un taux de succès de 100% lors de son déploiement.

Néanmoins il est difficile de savoir s'ils utilisent une faille intrinsèque à iOS pour l'installer (de la même manière que pour le jailbreak par exemple), ou si Apple collabore directement avec eux en fournissant à DROPOUT JEEP une porte d'entrée spécifique pour être installé. Et même s'ils ne collaborent pas, il semble difficile de croire qu'Apple n'a pas encore trouvé et corrigé cette faille. Un taux de réussite de 100% laisse planer le doute sur la participation d'Apple à ce projet.

Nous savons que de son vivant Steve Jobs s'était toujours opposé à toute entente avec la NSA, mais depuis que Tim Cook a repris les commandes d'Apple il est possible que les choses aient changé. Toujours d'après les documents de la NSA le projet date de 2008, mais nécessitait à l'époque un accès physique au smartphone d'Apple, ce qui rendait son champ d'application très limité. Ce n'est à priori plus le cas aujourd'hui, augmentant considérablement le nombre d'appareils pouvant être visés.

Bien entendu tout ceci ne repose que sur des suppositions, car même si les documents dévoilés sont bien réels, personne n'a la preuve que le DROPOUT JEEP. Personne ne sait non plus s'il a été déployé sur une proportion plus ou moins large d'iPhones. Mais si on en croit les derniers scandales autour du PRISM et des révélations de Snowden, j'aurai tendance à croire que Jacob Applebaum n'est malheureusement pas très loin de la vérité. De plus tout ceci concorde avec d'autres révélations faites autour de TAO, une unité "spéciale" de la NSA composée de hackers de haut niveau (source : http://www.spiegel.de/international/world/the-nsa-uses-powerful-toolbox-in-effort-to-spy-on-global-networks-a-940969.html).

L'unité TAO conçoit notamment des outils pour s'introduire sur divers systèmes d'informations critiques, et en particulier ceux qui concernent le secteur des télécoms. D'ailleurs il ne serait pas impossible que TAO soit à l'origine de la conception de DROPOUT JEEP... Voilà qui va également relancer les débats sur la sécurité des smartphones au sein des entreprises, que ce soit par l'intermédiaire du BYOD ou non.

Timothé Coulmain, Consultant Sécurité, Advens