Des APR et Apple ont été victimes à la fin de l'été d'un détournement de leurs comptes GSX. Le problème est a priori sans incidence pour des clients mais il a pu être mis à profit pour faciliter la circulation d'iPhone volés.

GSX, pour Global Service Exchange, désigne la plateforme de communication qui met en relation le SAV des revendeurs Apple avec AppleCare. C'est par là que transitent les dossiers de demandes de réparation d'un matériel sous garantie ou la commande de pièces détachées. Il s'agit d'un intranet sur lequel les techniciens des Apple Premium Resellers et Centres de Services Apple se connectent pour déclencher et suivre ces procédures.

D'après des échanges de mail que nous avons pu consulter, à la fin du mois d'août, une enseigne de revendeur Apple a constaté des demandes indues de pièces détachées d'iPhone pour de supposées réparations ou des commandes d'iPhone de remplacement. L'un des courriers évoque un autre cas chez un confrère avec « 20 000 euros de stocks d'iPhone » réceptionnés alors qu'aucune demande n'avait été faite. Dans un autre mail, un peu moins de 170 demandes de pièces détachées sont listées et là aussi aucune ne correspond à une requête faite par les équipes du revendeur.

Apple a enjoint ses partenaires concernés à changer les mots de passe et questions de sécurité de leurs techniciens. Une procédure qui est d'ailleurs imposée de manière régulière quatre fois par an. La plupart des demandes de réparations ont pu être bloquées en amont, affirme dans l'un de ces mail un responsable d'AppleCare pour la France.

La gêne est à la fois administrative — gérer le retour des téléphone reçus — et financière puisque des facturations ont été parfois réalisées. Il faut alors rembourser le revendeur ou lui proposer un avoir. Sans parler du temps perdu par les équipes de SAV confrontées à ces dysfonctionnements.

L'origine de ces intrusions et leurs motivations ne sont pas complètement claires, nous expliquait un interlocuteur qui a souhaité garder l'anonymat. S'agissant de la manière dont ces identifiants ont été subtilisés, il pense immédiatement à un phishing assez classique mais sans en avoir l'entière certitude. Il est devenu commun aujourd'hui de recevoir des mail prétendument envoyés par Apple pour soutirer des identifiants iTunes. Les mail demandant la même chose pour des accès GSX sont moins fréquents mais ils existent, nous en avions d'ailleurs reçu un l'an dernier. Un technicien chez un revendeur aura pu être abusé de cette manière.

Toutefois, la manière dont ces demandes de réparations ont été ensuite générées auprès d'Apple dénote d'une certaine connaissance de cet intranet :

Il s’agit sûrement d’un réseau bien organisé pour connaître le fonctionnement de GSX et pour créer de fausses réparations d’iPhone, car les réparations sont peut-être même créées via des scripts. En effet il y en a parfois 3 par minute. Or, via l’interface graphique, la création d’un dossier nécessite de répondre à certaines questions sur le diagnostic pour orienter le dossier vers le bon type de réparation et donc créer plusieurs dossiers par minute nécessite soit d’être très, très rapide soit que le système a été hacké et scripté !

Sur le plan des motivations, la seule hypothèse avancée est que ces intrus cherchent à obtenir des numéros de série flambant neufs qui seront utilisés pour des iPhone volés.

Lors d’un échange, le numéro de série du nouveau matériel est lié à l’ancien matériel. Ainsi, lorsqu'on saisit le nouveau numéro de série on voit qu’il correspond à un échange sur l’ancien numéro de série, et inversement. Du coup, à titre personnel je ne comprends pas précisément en quoi des demandes d’échanges permettraient de couvrir les traces d’iPhone volés, mais il faudrait connaître plus précisément les méthodes utilisées par ces gens.

Nous avons contacté Apple France pour tâcher d'en savoir plus mais n'avons obtenu aucune réponse. Quant à l'une des enseignes touchées, sollicitée à deux reprises, elle n'a pas souhaité communiquer sur le sujet. Nous avons contacté d'autres revendeurs qui nous ont expliqué ne pas être tombés dans le piège de ces faux mails.

Journée anniversaire et donc de promotions chez l'APR AndroMac. Son gérant nous a signalé que son enseigne fêtait les deux ans d'ouverture de la boutique de Plan de Campagne (entre Aix-en-Provence et Marseille). À cette occasion des réductions de 5% sont consenties sur les iPad et 10% sur tous les Macintosh, iPod et accessoires griffés Apple. Ces réductions sont valables demain samedi.

Dreamweaver va enfin être proposé en 64 bits à l'occasion de sa prochaine mise à jour. L'outil de création de sites d'Adobe exigera alors OS X Lion au minimum et son éditeur promet des progrès dans ses performances. Adobe précise également que si cette mise à jour va écraser celle de juin dernier, il sera toujours possible de retélécharger et d'utiliser la version CC actuelle.

Si l'on utilise des extensions d'éditeurs tiers, il faudra s'enquérir de leurs mises à jour. Les modules utilisés aujourd'hui ne fonctionneront plus en mode 64 bits. Adobe assure avoir travaillé en amont avec ces développeurs. Davantage de détails sur les autres modifications apportées au logiciel seront données début octobre. Il n'y a pas encore de date précise toutefois pour la disponibilité (prochaine) de cette mise à jour.

L'équipe en charge du contrôle qualité d'iOS doit être dans ses petits souliers à l'heure qu'il est, suite à la débâcle d'iOS 8.0.1 qui a transformé l'iPhone 6 en iPod touch de luxe (fort heureusement, iOS 8.0.2 a corrigé ces vilains bugs un peu plus de 24 heures après). Un homme en particulier sent peut-être le souffle chaud de l'opprobre sur sa nuque : Josh Williams. Il est en effet en charge de superviser les mises à jour du système d'exploitation…

Il était aussi responsable du contrôle qualité logiciel lors de la sortie de Plans en 2012, avec le résultat que l'on sait : erreurs en pagaille, cartes fantaisistes, réputation (d'Apple et de l'application) fortement entachée. La polémique qui s'était ensuivie avait poussé Tim Cook à se séparer de Scott Forstall, le grand patron d'iOS à l'époque, et à réorganiser les différentes branches de l'entreprise.

Difficile de savoir si son avenir chez Apple est compromis, car on ignore ce qui a provoqué les bugs dans iOS 8.0.1. Ce dernier a été installé par 40 000 personnes avant son retrait, dixit Apple. L'homme est entré chez Apple en 2000, et il travaille sur le contrôle qualité du logiciel de l'iPhone depuis les tout débuts du smartphone. Il a sous sa coupe une centaine de personnes à travers le monde qui doivent passer au tamis les nouveaux logiciels avant qu'ils ne soient disponibles au grand public. Bien qu'Apple utilise des techniques d'automatisation pour les tests (des batteries d'iPhone placés dans des racks), la société mise d'abord sur les retours de ses testeurs pour éradiquer les bugs.

Le constructeur a mis sur pied un groupe, le Bug Review Board (BRB), qui a pour mission de prioriser les problèmes à corriger en urgence. Ce comité a à sa tête Kim Vorrath, vice-présidente en charge de la gestion produit pour les logiciels iOS et Mac. Ce comité, où siège également Williams, utilise une nomenclature spécifique pour décider des bugs prioritaires : P1 signifie que l'entreprise doit cesser toute production d'un terminal (autant dire que la décision du BRB est lourde de conséquences). P2 et P3 sont moins importants, mais ils impliquent que les ingénieurs et développeurs d'Apple doivent développer des mises à jour avant même le lancement d'un nouveau produit — Apple a besoin de livrer une première mouture de son système d'exploitation plusieurs semaines avant la commercialisation d'une nouveauté, car il faut bien que cette dernière soit équipée d'un OS en sortant de la ligne de montage.

Les réunions du BRB sont des moments souvent stressants pour les participants : les débats sont vifs entre les ingénieurs, qui ont la responsabilité du bon fonctionnement d'un nouveau produit, et les responsables des ventes et du lancement qui ont des dates fixes à respecter… ce d'autant que le laps de temps est réduit à une poignée de semaines (lire : Quand la culture du secret joue des tours à Apple).

Autre impératif à prendre en compte : les ingénieurs qui testent les logiciels n'ont en main les nouveaux terminaux qu'en même temps que les consommateurs, ou presque. Les mises à jour ne peuvent donc être parfaitement calées ni suffisamment testées pour fonctionner au petit poil. Tim Cook a voulu redoubler d'efforts pour éviter les fuites (comme ce qui était arrivé avec l'iPhone 4, oublié dans un bar de San Francisco). Si cela ne fonctionne pas vraiment en Chine, à Cupertino la sécurité a été renforcée et les ingénieurs n'ont pratiquement plus accès au matériel, à moins d'obtenir une permission spéciale.

Il existe également des problèmes de communication : l'équipe en charge de la validation du fonctionnement du réseau cellulaire et du Wi-Fi peuvent autoriser une mise à jour, et celle de Williams se rendre compte que celle-ci n'est pas compatible avec une autre fonction. Que s'est-il passé avec iOS 8.0.1 ? On ne le saura probablement jamais.

« L’immense majorité des utilisateurs d’OS X ne risque rien de la faille du Bash récemment découverte », a assuré Apple à iMore. « Avec OS X, les systèmes sont sécurisés par défaut et ne sont exposés à des attaques à distance que si les utilisateurs configurent les services UNIX avancés. »

Il n’en demeure pas moins qu’OS X Mavericks et OS X Yosemite sont touchés par la faille dite Shellshock, et qu’il suffit d’une mauvaise configuration ou d’une application un peu trop gourmande pour avoir activé les services en question. Apple travaille donc « à une mise à jour rapide », et pas uniquement « pour les utilisateurs UNIX avancés » comme elle le prétend.

Hubic évolue dans l’ombre de Dropbox et de Google Drive sur le web ? Qu’à cela ne tienne, le service de stockage en ligne d’OVH sera bientôt promu… en grande surface. Des cartes prépayées pour de nouvelles offres Hubic seront disponibles dans une centaines d’hypermarchés Auchan, révèle ainsi Next INpact.

Ces nouvelles offres proposeront 500 Go, 1 To ou 2 To de stockage, à des prix encore inconnus mais avec un engagement d’un an. Il s’agit, selon OVH, de suivre les capacités les plus communes de disques durs externes, sans doute dans un effort de promotion croisée. Le stockage Hubic vaut actuellement 1 € par mois les 100 Go ou 10 € par mois les 10 To, sans engagement de durée.

Adélaïde Moulière, chef de produit Hubic, laisse aussi filtrer que « des négociations sont en cours avec des opérateurs de téléphonie » pour inclure le service dans des forfaits. Par « opérateur de téléphonie », il faut sans doute comprendre « MVNO » : Orange, SFR et Bouygues proposent leurs propres services de stockage en ligne. Enfin, Hubic proposera bientôt une fonction d’archivage, c’est-à-dire d’envoi de fichiers sans synchronisation, à la Mega.

James Comey, le directeur du FBI, nourrit des inquiétudes concernant le renforcement de la sécurité des données confidentielles dans les produits mobiles d'Apple et de Google. « Je crois que personne ne devrait être au-dessus des lois », a t-il expliqué à des journalistes. « Ce qui m'inquiète, c'est le marketing de ces entreprises [Apple et Google] qui dit explicitement que les gens peuvent se placer au-dessus des lois ». Du côté de Cupertino, on a assuré la semaine dernière qu'Apple ne conservait plus les clés de chiffrement pour les terminaux sous iOS 8, ce qui ne lui permet plus de mettre la main sur le contenu des appareils, y compris dans le cadre d'une requête policière (lire : Confidentialité des données : Tim Cook et Apple s'engagent à plus de transparence).

« Il n'est techniquement pas possible pour nous de répondre aux mandats du gouvernement d'extraire les données d'appareils en sa possession, fonctionnant sous iOS 8 », peut-on lire sur le nouveau site consacré à la confidentialité des données. Apple y explique aussi qu'« au contraire de nos concurrents, [nous] ne pouvons contourner votre mot de passe et par conséquent, accéder à vos données ». Cette décision, suivie par Google qui a annoncé qu'Android L allait également chiffrer toutes les données par défaut, a été prise après que la Silicon Valley dans son ensemble ait dénoncé à plusieurs reprises le peu de considération avec laquelle le gouvernement US traitait la confidentialité des utilisateurs de produits mobiles.

James Comey comprend ce besoin de respect de la confidentialité, mais il ajoute qu'il peut être vital pour le gouvernement d'accéder au contenu d'un smartphone, en cas d'attaques terroristes ou de kidnapping. « J'apprécie et je crois beaucoup dans le fait que nous devions obtenir un mandat d'un juge indépendant pour accéder au contenu du placard ou du smartphone de quelqu'un. L'idée même que quelqu'un puisse commercialiser un placard qui ne pourrait jamais s'ouvrir — même dans le cas d'un kidnapping d'enfant ou le jugement d'un tribunal — n'a aucun sens pour moi ».

« Le jour viendra », poursuit Comey, « où il sera très très important pour les vies des gens que nous puissons être capable, avec l'autorisation de la justice, d'avoir accès [aux informations contenues dans l'] appareil d'un kidnappeur, d'un terroriste ou d'un criminel ». Le FBI a d'ailleurs discuté du sujet avec Apple et Google, notamment sur le marketing sur la protection des données privées, utilisé par les deux entreprises. Sans les convaincre d'assouplir leur communication, visiblement.

Faut-il voir dans toute cette affaire, et dans les déclarations du patron du FBI, un remake de l'arroseur arrosé ? Les organismes de sécurité américains (le reste du monde n'est pas en reste) ont largement tiré profit jusqu'à maintenant de la relative légèreté des éditeurs de systèmes d'exploitation et des constructeurs d'appareils mobiles. Il a fallu les révélations d'Edward Snowden pour s'apercevoir à quel point il était facile pour la NSA d'exploiter des informations censées être protégées des oreilles indiscrètes. « Dans ce monde post-Snowden, je comprends qu'il y ait un retour de balancier. Ce qui m'inquiète, c'est que le balancier soit allé un peu trop loin dans l'autre sens », s'inquiète Comey.