Steve Jobs avait refusé de communiquer de manière franche sur les problèmes de réception de l’iPhone 4 pendant plus d’un mois, laissant enfler la polémique aujourd’hui connue sous le nom d’antennagate. Tim Cook ne compte pas reproduire la même erreur avec le celebgate, cette affaire sordide de fuite de photos très personnelles stockées sur iCloud. Quelques jours après que ses porte-parole ont réagi par voie de communiqué, le CEO d’Apple annonce un renforcement de la sécurité d’iCloud à l’occasion d’une interview au Wall Street Journal.
Tim Cook persiste et signe, iCloud lui-même n’a pas été piraté. Les voleurs ont toutefois réussi à se procurer dans certains cas les mots de passe de leurs victimes, dans d’autres cas la réponse aux questions de sécurité permettant de récupérer ce mot de passe. Le problème n’a jamais été la sécurité des serveurs d’Apple, bien qu'elle soit évidemment importante ; il réside d'abord et avant tout dans l’absence de garde-fous contre l’ingénierie sociale et de mécanismes permettant de détecter une connexion malveillante.
C’est précisément sur ces points que la firme de Cupertino compte agir : à partir de la mi-septembre, elle alertera les utilisateurs par courrier électronique et notification push en cas de connexion depuis une adresse IP inconnue, de modification du mot de passe iCloud, ou de tentative de restauration des données sur un nouvel appareil. Ce dernier cas est particulièrement important, puisqu’il semble que des outils de restauration en masse des données iCloud aient été utilisés pour récupérer rapidement et discrètement les photos qui circulent depuis quelques jours.
Mais Apple envoyait déjà des courriers électroniques en cas de changement de mot de passe, et ils ne disaient rien d’autre que « le mal est fait ». « Lorsque je prends du recul sur ce qui vient de passer et me demande ce que nous aurions pu faire de plus », admet Tim Cook, « je pense que nous devons être responsables d’une prise de conscience des utilisateurs en matière de sécurité. Ce n’est pas qu’un problème technique. » Cela commencera, assurément, par une promotion de l’authentification en deux facteurs ailleurs que dans une obscure fiche technique — avec iOS 8, elle protégera enfin la connexion à un compte iCloud depuis un appareil iOS.
Apple doit aussi être plus résistante aux mécanismes d’ingénierie sociale, et peut-être abandonner le système antédiluvien et largement inutile des questions « de sécurité ». Avec Touch ID, la firme de Cupertino a montré qu’elle pouvait être crédible sur ces questions. Tim Cook veut maintenant prouver qu’iCloud peut être le coffre-fort dans le nuage que ses utilisateurs attendent.
