Chercheur en cryptographie appliquée à l’Université Johns Hopkins, Matthew Green déplore le flou autour de la sécurité des iMessages. Apple promet qu’elle, ni personne ne peut les lire, mais ne donne aucune preuve pour s’en assurer.
« Les conversations iMessage et FaceTime sont protégées par un chiffrement de bout à bout », explique Apple, « de telle manière que personne hormis l’expéditeur et le destinataire ne peut les voir ou les lire. » Elle ajoute qu’elle ne peut elle-même pas les déchiffrer, ce qui signifie soit que la clef de chiffrement ne quitte jamais l’appareil, soit qu’elle est formée à partir de votre mot de passe.
Green expose une simple expérience qui permet d’invalider ses deux hypothèses :
« D’abord, perdez votre iPhone. Puis, changez votre mot de passe en utilisant le service iForgot d’Apple […]. Maintenant, allez dans un Apple Store et dépensez une fortune pour acheter un nouveau téléphone. Si vous pouvez recouvrer vos iMessages récents sur un nouvel iPhone […] alors Apple ne protège pas votre iMessages avec un mot de passe ou une clef spécifique à un appareil. »
En effet dans ces deux cas, Apple ne connaît pas la clef de chiffrement : elle ne peut donc pas déchiffrer les messages et les restaurer. Or lorsque vous restaurez une sauvegarde iCloud, vous restaurez aussi vos messages, y compris si vous avez changé de mot de passe ou d’appareil. D’une manière ou d’une autre donc, Apple connaît votre clef de chiffrement.
Faut-il donc arrêter de sauvegarder les appareils iOS avec iCloud ? Cela ne changerait pas grand-chose selon Green, puisque les messages transitent via les serveurs d’Apple. La communication entre l’appareil de l’expéditeur, les serveurs d’Apple et l’appareil du destinataire est sujette à des vulnérabilités qui pourraient être exploitées pour accéder aux contenus de vos messages.
Comme l’explique Green, c’est un compromis à faire pour que l’impératif de sécurité ne prenne pas le pas sur l’agrément d’utilisation. Mais il semble donc que rien ne s’oppose à ce qu’Apple puisse lire vos messages, contrairement à ce qu’elle affirme, ou qu’elle les transmette aux autorités.
