Craig Federighi ne veut pas créer un logiciel que les criminels pourraient exploiter

Mickaël Bazoge |

Craig Federighi, vice-président en charge de l'ingénierie logicielle chez Apple, a pris sa plume (ou son clavier virtuel) pour écrire une tribune dans le Washington Post. Il s'agit évidemment de défendre la position du constructeur dans le combat qu'il mène actuellement contre le FBI pour défendre la vie privée des utilisateurs de terminaux iOS. Pour lui, « rien n'est plus important que la sécurité de nos clients ».

Il explique que lui et son équipe doivent travailler sans cesse pour être en avance sur les hackers et les attaques en tout genre qui « cherchent à fouiner dans les informations personnelles ». « Malheureusement, ces menaces sont de plus en plus sérieuses et sophistiquées avec le temps ». Et Federighi d'égrener quelques unes de ces attaques qui ont fait du bruit ces 18 derniers mois, dans les systèmes des chaînes de distribution, dans les banques, et « même au gouvernement fédéral », indique-t-il comme pour souligner l'ironie de la chose.

Le vice-président reprend également un argument déjà entendu dans la bouche de Tim Cook. L'iPhone est aujourd'hui plus qu'un appareil personnel. « Dans le monde mobile et connecté d'aujourd'hui, [le smartphone] fait partie du périmètre de sécurité qui protège votre famille et vos collègues. L'infrastructure vitale de notre nation — comme le système électrique ou les réseaux de transport — deviennent vulnérables quand un individu se fait pirater ».

Et pour bien mettre le point sur le « i », Federighi écrit : « Les criminels et les terroristes qui voudraient infiltrer nos systèmes et perturber les réseaux sensibles peuvent commencer leurs attaques en accédant au smartphone d'une seule personne ». Sous-entendu : mieux vaut que ce smartphone soit bien sécurisé.

Malgré les efforts d'Apple, rien n'est sûr « à 100% ». Même les meilleurs peuvent se tromper : « Une erreur peut devenir une faiblesse, quelque chose qu'un hacker peut utiliser. Identifier et corriger ces problèmes sont une partie critique de notre mission pour conserver les clients en sécurité. Faire quoi que ce soit qui entraverait cette mission serait une sérieuse erreur ».

mompl — CC BY-NC-ND

On en revient donc à la volonté du FBI, du Department of Justice et aux autres organismes de sécurité de pouvoir accéder au contenu d'un iPhone. Ces derniers ont indiqué que les mesures de sécurité d'iOS 7 étaient bien suffisantes pour assurer la protection des données des utilisateurs, et « que nous devrions simplement revenir aux standards de sécurité de 2013 ». Mais voilà : « La sécurité d'iOS 7, bien qu'à la pointe à l'époque, a depuis été brisée par les hackers. Pire encore, plusieurs de leurs méthodes ont été industrialisées et elles sont maintenant disponibles à la vente pour des pirates moins doués, mais souvent plus malveillants ».

La demande du FBI est de créer une porte dérobée, insiste Craig Federighi, qui « prend la forme d'un logiciel spécial contournant les protections du mot de passe, créant une vulnérabilité qui permettrait au gouvernement de forcer le passage dans un iPhone ».

Une fois créé, ce logiciel — les forces de l'ordre ont concédé qu'elles voudraient l'exploiter dans beaucoup d'iPhone — deviendrait une faiblesse que les pirates et les criminels pourraient utiliser pour faire des ravages dans la vie privée et les biens personnels de chacun d'entre nous.

Craig Federighi rappelle que si les logiciels ont la possibilité de se déployer à la vitesse « d'un clin d'œil », c'est aussi le cas pour le code malintentionné. « Et quand les logiciels sont créés pour de mauvaises raisons, ils ont une capacité énorme et de plus en plus importante de faire du mal à des millions de gens ».

Les innovations logicielles de l'avenir dépendront des fondations d'une sécurité forte des appareils, conclut-il. « Nous ne pouvons pas nous permettre de se laisser distancer par ceux qui exploitent la technologie dans le but de créer le chaos. Nous ne pouvons pas nous permettre de ralentir, d'inverser notre progression, de mettre tout le monde en danger ».

avatar deltiox | 

C'est bien de dire cela, mais quel poids donner à la déclaration d'un employé qui sait pertinemment qu'il serait viré en cas d'avis public contraire ?

avatar C1rc3@0rc | 

Ben faut juste etre logique et analyser ce qu'il dit.
Son discours est ici celui d'un ingenieur, pas d'un politicien. Il met sur la table des faits et en indique les consequences. Il n'y a ni contenu moraliste ni marketing.
Et tous les ingenieurs informaticiens ne peuvent que confirmer ce qu'il dit.

Un precision tout de meme dans ce qu'il dit et qui est mal interpreté: « Dans le monde mobile et connecté d'aujourd'hui, [le smartphone] fait partie du périmètre de sécurité qui protège votre famille et vos collègues.

Le smartphone ne fait pas partie du perimetre de securité, il est inclus dans ce perimetre.
Cela veut dire que lorsqu'on considere la valeur des informations utilisées ou appartenant a une personne, il faut aussi considerer tous les risques que représentent ces informations, et plus précisément en cas de vol ou d'alteration.
Il faut considerer les fonctions de l'appareil: c'est un systeme d'informations.

Le perimetre de securite c'est les risques et dangers pour/de l'information et les moyens de limiter ces risques et dangers.

Introduire une porte cachée pour acceder a ces donnees hors de la volonté explicite du proprietaire c'est par definition alterer le perimetre de securité, voire le supprimer tout simplement.
Et le plus grave est que le proprietaire ignore cette absence de securité.

Pour donner un exemple typique faut imaginer une piscine et des enfants.
L'acces non controlé a la piscine represente un grave danger.
Comme les parents ne peuvent pas surveiller ce que font les enfants 24/24h et dans un espace infini, on installe des barrieres infranchissables autour de la piscine et on place une porte que seuls les parents peuvent ouvrir.
Cette barriere c'est le perimetre de securite.
Tant que l'enfant sans surveillance est maintenu a l'exterieur, il est en securité .
Si on fait un trou dans la barriere, le perimetre de securité n'existe plus et l'enfant est en danger en permanence!

avatar reborn | 

Pck tu crois vraiment que la position actuelle d'Apple c'est uniquement celle de Tim Cook ? Aucun doute que toute l'equipe dirigeante est sur la même longueur d'onde. C'est pas le genre de décision que tu prend tout seul

avatar PiRMeZuR | 

Même si le ton catastrophiste est ici intentionnel, les arguments qu'il utilise, comme ceux que l'on retrouve dans la bouche des candidats républicains à la présidentielle, montrent bien en creux le degré de paranoïa dans lequel s'enfonce la population américaine depuis des années. Il y a un "ennemi", fourbe, qui en veut à l'Amérique. Il n'est pas vraiment déterminé mais il a tantôt un accent russe, tantôt un dieu légèrement différent, tantôt les yeux bridés.
Et l'unique rêve de cet ennemi, comme dans les blockbusters hollywoodiens, c'est de tuer des familles innocentes du Nebraska et d'empoisonner le réseau d'eau potable...

avatar fl0rent | 

@PiRMeZuR :
Tu es journaliste français pour avoir un avis pareil...

avatar DarKOrange | 

@PiRMeZuR :
C'est comme ça depuis la nuit des temps, il semble que culturellement les américains aient besoin d'un ennemi... Avant c'était le dangereux communiste avec son couteau entre les dents.

avatar Claude Pelletier | 

Pourquoi limiter ce penchant aux seuls Américains ?
C'est un trait de la nature humaine, un trait ou une tare…

avatar C1rc3@0rc | 

@PiRMeZuR

Si Frederigi parle de criminels terroristes c'est parce que ce sont les arguments martelés depuis des mois par le FBI, le gouvernement, et les gouvernements collaborateurs des USA (Angleterre, France, Allemagne,...)

Apres ce que tu dis est vrai: la population des USA est endoctrinée depuis des décennies pour avoir peur du monde "sauvage autour".

La realité c'est que le monde est plus sécurisé pour les americains dans beaucoup de regions hors des frontières des USA (quasi 100% de l'Europe et du Canada). Et que la plupart des civils américains tués ou blessés chaque années le sont par des americains sur le territoire americain...

Le plus grave c'est que comme tu le dis l'ennemi est flou: plus que ces traits ethniques ou son passeport c'est surtout une abstraction ideologique: les habitants des USA ont peur des ideologies socio-democrates et socialistes ou ont peur de certaines religions.

Dans les faits, l'ennemi interieur aux USA est la consequence de la doctrine capitaliste: c'est la pauvreté, la précarité. L'autre ennemi national ce sont les sectes "apocalyptiques", les integrismes religieux derivés du christianisme et milices et groupuscules anti-federalistes ou encore les "sudistes" toujours arc-boutés sur des theories raciales.

Ce que le FBI se garde bien de dire c'est que quasi l'intégralité de son travail de surveillance concerne ces groupes ultra-nationalistes et sectes religieuses et que ses enquetes concernent quasi intégralement des crimes lies au banditisme interne qui se developpe de plus en plus avec la pauvreté. Et que les agents du FBI sont victimes de citoyens americains!

Pour le FBI, comme le gouvernement, l'ennemi c'est donc le peuple americain, avant tout!

Aprés, il y a bien un danger reel que represente l'islam imperialiste, les monarchies obscurantistes du moyen orient et une partie des dictatures africaines. Mais cela est du ressort des armées et des agences d'espionnages , pas du FBI...

avatar reborn | 

@Pirmezur
Sauf qu'Apple vend ses produits partout dans le monde, pas seulement aux USA.

avatar Hertzfield | 

@reborn :
+1

avatar C1rc3@0rc | 

Apple fait plus de 60% de son chiffre d'affaire hors USA

Mais si Apple se bat contre le FBI, c'est que la campagne anti-democratique menée par certains etats l'est sous la tutelle et la directive des USA et parce que Apple est une societe americaine soumise au droit americain avant tout.

Si Apple se delocalise en Europe ou en Asie, ce qui serait une bonne idee au demeurant, Apple se defendra en priorité au niveau de son siege social, puis la ou sont produits ses appareils et enfin sur ses marchés.

Faut se rendre compte que le Patriot Act n'est pas qu'un problème americain, il est aujourd'hui transposé dans les pays de l'OTAN et s'attaque aux constitutions nationales.
Si le FBI obtenait la jusrisprudence permettant d'interdir la cryptographie dans les produits civils commerciaux ou libres cela se propagerait aux autres pays: on voit deja ce qui se passe en France et en Angleterre!

avatar Hertzfield | 

Je l'aime vraiment bien ce Federighi.
Pertinent et incisif.
Il est vrai que l'histoire de l'informatique est bâti sur la sécurité et le hack de celle ci.
Le fait que Apple soit à la pointe ne m'étonne pas.
Indépendamment de ce que chacun peut penser la sécurité de Mac OS et d'iOS est vraiment très bonne, mise à part certains gogo qui choppent des virus on sait trop où, il n'y a rien à redire.
Peut on en dire autant de Androbouse et Microshit ? Je ne pense pas.

avatar Kabrice | 

Il me semble que ces articles réfèrent les applications écrites sur iOS et pas forcement l'OS en lui même mais je peux me tromper

avatar Kabrice | 

Tout comme il y a plus de vulnérabilités dans OSX que dans windows mais moins de critiques.
Les nombres ne veulent pas dire grand chose en soit et l'interpretation doit être fait avec precaution.
Il est difficile de comparer android avec iOS tout comme windows et OSX. Chacun aura ses fans et ses détracteurs. Cela n'en demeure pas moins des bons OS avec leurs forces et leurs faiblesses. Android et Windows compatibles sur de très nombreuses plateformes avec de nombreuses variantes et iOS/OSX sur un nombre de plateformes limitées.
Pour moi le plus important au travers de ce qui se passe actuellement c'est le coup de projecteur qui est mis sur la sécurité et donc j'espère que Apple, Google, Microsoft et tous les développeurs vont s'attacher à rendre leur OS et logiciels moins vulnerable.

avatar Dumber@Redmond | 

@Kabrice :
Il n'y a pas plus de vulnérabilités dans OS X que dans Windows. Si tu savais lire et compter tu aurais vu que dans les comptages de CVE les versions de Windows sont séparées et comptées à part alors que pour OS X, toutes les vulnérabilités sont comptées ensemble dans un seul total...
Visiblement ça ne choque pas les partisans de Windows de mélanger des choux et des carottes. Vu que c'est déjà ce qu'ils ont fait et font toujours dans leurs OS ! LOL

avatar Kabrice | 

Si tu savais lire également tu aurais vu que j'ai mis "Les nombres ne veulent pas dire grand chose en soit et l'interpretation doit être fait avec précaution."
Je ne suis pas partisan de l'un ou de l'autre. J'utilise les 2 même si j'ai plus de matériel Apple (
iPhone, iPad, MBPr, Watch, aTV...) que de matériel tournant sous windows avec 1 pc pour le jeu.

avatar XiliX | 

@Ze_misanthrope

En fait, comme dit l'article,

"Security teams often focus on how secure a platform is by using past vulnerability information as a prediction of the future. This method is also flawed in several ways, mostly because it doesn’t account for all relevant platform security features and the actual risks to the organization. Looking at a single data point, such as vulnerability count, is too limited."

onb peut ainsi dire que les données ne sont pas très représentatives...

avatar C1rc3@0rc | 

@Ze_misanthrope
mode troll on
Ben oui mais chez Apple ce sont des bugs, chez MS et les constructeurs utilisant android ce sont des portes derobées
mode troll off

Les iPhone se jailbreak: y a des failles qui le permettent. C'est evident. Le seul appareil sans faille (publique en tout cas) c'est l'Apple TV 3 ;)

Le vrai probleme c'est pas le nombre de failles mais le nombre de failles critiques.
Quand on trouve des failles critiques cotes MS ou Android qui touchent toutes les versions encore en activité jusqu'aux dernieres encore en beta, c'est plus que grave et suspect...

avatar C1rc3@0rc | 

On aura confirmation de ça le 26 mai...

Par contre pour MacOS X, a cause de Yosemite, je suis loin d'etre certain qu'Apple fasse mieux que MS.
Enfin dans Windows 10 ce ne sont pas des failles mais des fonctions normales: collecter et balancer sur le cloud toutes les donnees utilisateurs, c'est la premiere fonction de Windows 10.
Est ce que El Capitan a bouché les trous?
Sur Yosemite en tout cas c'est une catastrophe.

avatar robrob | 

Avec toutes ces annonces catastrophiques sur le fait que les logiciels semblent fuire des qu'ils sont programmes on se demande comment Apple parvient a garder en securite ses cles privees.
Moi quand je vois comme ca les inquiete de proteger un bout de code, je leur ferais pas confiance sur la protection de leurs cles privees...

avatar patrick86 | 

"Avec toutes ces annonces catastrophiques sur le fait que les logiciels semblent fuire des qu'ils sont programmes on se demande comment Apple parvient a garder en securite ses cles privees.
Moi quand je vois comme ca les inquiete de proteger un bout de code, je leur ferais pas confiance sur la protection de leurs cles privees..."

Il y a une différence entre les clés privées que Apple est la seule à conserver ET utiliser, et un logiciel qui serait entre les mains du FBI et utilisable sur moult iPhone.

Le problème serait le même si le FBI demandait à Apple de lui transmettre sa clé privée.

Pages

CONNEXION UTILISATEUR