Apple embauche (de nouveau) un pro de la sécurité

Mickaël Bazoge |

Apple renforce ses équipes en charge du chiffrement. Jon Callas a de nouveau rejoint les rangs du constructeur en mai, indique Reuters qui en a obtenu la confirmation. Ce spécialiste de la cryptographie est un habitué des couloirs de Cupertino, puisqu’il y a travaillé dans les années 90, puis de nouveau entre 2009 et 2011. Entre deux boulots chez Apple, il a participé à la création de plusieurs entreprises elles aussi tournées vers la sécurité, comme PGP Corp ou Silent Circle, qui fabrique le Blackphone, un smartphone conçu comme une forteresse.

Durant son dernier emploi chez Apple, il a mis au point un système de chiffrement pour les données stockés sur un Mac. On pense évidemment à FileVault. Le retour de Callas chez le constructeur est le signe que la Pomme ne compte pas relâcher les efforts pour encore améliorer la protection des données de ses clients.

avatar crapule | 

Ca sent le retour de superman votre article :) Impatient de voir les résultats techniques d'apple en cette politique de sécurité.

avatar deltiox | 

Un smartphone conçu comme une forteresse, sans aucun compromis,
Base sur Android (made in Google)
Cherchez l'intrus

avatar C1rc3@0rc | 

@deltiox

Y a pas d'intru.
Le code source d'Android est libre, tout ingénieur peut donc le modifier et l'adapter pour le sécuriser. De plus aucun appareil ne tourne avec l'Android de Google mais avec des versions adaptées spécifiquement pour un modele, ce qui veut dire que niveau efficacité et sécurité la marge de progression est énorme.

La securité commence par la qualité de la programmation et la maitrise des composants, une conception semble-t-il oubliée chez Apple.
Engager des "têtes" en sécurité c'est bien, mais si derrière le soft est pourri de failles résultant de délais trop court, d'un manque de personnel qualifié et d'un management dysfonctionnel, ça sert a rien!

avatar codeX | 

Comment peut-on dans la même phrase parler d'embauche de "têtes" en sécurité et d'un manque de personnel qualifié. quand au management dysfonctionnel (!!!) j'imagine que tu as tes entrées chez la pomme pour pouvoir en juger.

avatar C1rc3@0rc | 

On peut parce qu'il ne s'agit pas du meme niveau.

Imagine que tu es fabriquant de coffres de haute securité. Tu embauches un génie de la conception des coffres qui réalise une porte ultrasecurisée et une serrure qui nécessite 8 jours pour être ouverte sans la clé.

De l'autre coté l'équipe qui réalise le reste du coffre doit le faire dans la précipitation et avec des matériaux inadapté, trop fin -parce que chaque millimètre permet de gagner en rentabilité-, et que les gars qui font la trempe du metal sont des stagiaires sous payés, toujours pour optimiser la rentabilité...

Moralité, la porte ne cédera jamais, mais vu qu'il suffira de fracturer le coffre pour que le metal casse ça n'a pas d'importance...

C'est la situation d'Apple actuelle: des techno très avancées avec des concepts encore novateurs, mais une réalisation dysfonctionnelle.

Regardes juste un exemple du cote iOS avec le récent bug "1970": c'est un des nombreux exemples de cette situation...

iOS est securisé? la 9.3.3 serait déjà jailbreaké...

avatar Domsware | 

@C1rc3@0rc :
"La securité commence par la qualité de la programmation et la maitrise des composants, une conception semble-t-il oubliée chez Apple."

D'où tires-tu ces informations ? As-tu audité des codes source ? As-tu accès au éléments statistiques en seules possession d'Apple ? Ou bien ce qui est sûrement le cas c'est du doigt mouillé et/ou la globalisation d'un nombre minime de cas dont tu as connaissance ?

avatar XiliX | 

@C1rc3@0rc :
Di su il y a intru. Blackphone fonctionne avec un fork d'Android.
L'OS ne peut plus être appelé Android, comme l'est Fire OS.

Ce n'est pas parce que Apple embauche un spécialiste de sécurité que les matériels Apple sont mal sécurisés. C'est aussi pour améliorer encore la sécurité.
En tout cas iOS reste plus sécurisé qu'Android

avatar XiliX | 
avatar Almux | 

…Et oui, justement, c'est tout le problème de "l'open source": On peut autant le sécuriser que le dé-sécuriser. Bien sûr, l'open source aide à l'évolution d'un code; mais, il nécessite un contrôle permanent d'une grande communauté d'experts capables de repérer les lignes pourries.
Android est tellement ouvert, que tous les hackers se ruent dessus.

avatar C1rc3@0rc | 

@Almux

Un code non audité, qu'il soit open source ou propriétaire, reste un code non audité.

L'avantage avec l'Open source c'est que le code est disponible sans restriction, donc n'importe qui peut le vérifier.

Une entreprise peut donc se plaindre et dire que c'est parce qu'un code est proprietaire qu'elle n'a pas pu l'auditer, et qu'elle est victime des failles présentes.
Pour un code open source, l'argument ne tient pas et l'entreprise n'est que victime de ses modeles économique et managerial deficients.

Et ce n'est pas parce qu'un code est proprietaire que les hacker ne vont pas trouver y trouver des failles. Le hacker il fait de la retro-ingenierie, il se fout que le code soit ouvert ou fermé, ça change rien pour lui.
Plus encore, un hacker ne va considérer que le code qui tourne, donc compilé, parce que les compilateurs peuvent rajouter des failles et que certaines "optimisations" dans le code source conduisent a des failles dans l'excutable donc les célèbres "buffer overflow" et autres fuite de meme
mémoire...

Bref, dans tous les cas, il vaut mieux utiliser un code ouvert qu'un exécutable proprietaire...

avatar Ginger bread | 

En gros une amelioration pour 10.13.
Esperons que ça porte bonheur.

avatar sambucus | 

Tiens, je croyais que le FBI avait clairement expliqué combien Apple était une vilaine entreprise qui chiffrait ses données et qui, comble de la provocation, veut améliorer la protection des données de ses utilisateurs. Honte, il faut en parler à Trump qui ne va pas manquer de … (la rengaine, vous la connaissez).

Et l'on apprend aujourd'hui qu'un certain Blackphone est construit comme une forteresse.

Vouiii ! Chez MacG., on aurait pas scotomiser des informations par hasard.

avatar Mickaël Bazoge | 
Je ne suis pas sûr d'avoir compris la teneur de ce commentaire.
avatar powergeek | 

Tim Cook a annoncé le chiffrement des sauvegardes iCloud. Il y a peut-être un lien avec ce recrutement. Le Blackphone 2 est ce qui se fait de mieux comme téléphone sécurisé sous android pour le grand public et un public avisé. Certaines features seraient le bienvenue sur iPhone.

avatar deltiox | 

Pour moi,
Sans aucun compromis en sécurité veut dire que l'on a soit meme crée le code.

Qui peut aujourd'hui garantir l'intégralité du code Android, produit par une societe dont la stratégie meme et le cœur du business est d'aller à l'encontre de la confidentialité des données.

Donc, il y a un sacré intrus dans cette phrase et "sans compromis" est selon moi totalement galvaudé

Et Android, mais ce n'est pas mon propos ici, à ma connaissance, n'est pas de l'open source libre de droits (j'avais lu ici et là qu'il y avait des licences et restrictions d'usage)

avatar k43l | 

Faut il encore savoir de quoi on parle.

Il y a Android et Android open source project (aosp). L'un est une marque, l'autre un OS libre de droit que tout le monde appelle aussi android tout court.

Android repose sur un noyau linux (donc libre de droit) et est adapté au mobile et tablette. A partir de la base AOSP, on peut faire n'importe quoi de l'OS dont un OS sécurisé selon ses propres préconisation.
Un audit est fait à partir de cette base de code source pour voir s'il y a des failles et les comblés. A l'heure actuelle il n'y a pas de connaissance de porte dérobé. Et vu le peuple qui consulte les sources, je pense que l'on serait au courant.

C'est aussi à partir de cette base AOSP que Google rajoute sa base propriétaire (chrome gmail etc) qui le fait devenir android la marque et donc soumis à conditions.

CONNEXION UTILISATEUR