Le mode de verrouillage désactive une série de fonctionnalités qui peuvent être utilisées pour pirater les utilisateurs d’iPhone. Mais l’absence de ces fonctionnalités permet également de déterminer plus facilement qui utilise le mode de verrouillage
Apple a officiellement présenté une nouvelle fonctionnalité appelée Lockdown mode (littéralement Mode de verrouillage) lors de l’édition 2022 de la WWDC, sa conférence dédiée aux développeurs qui s’est tenue cette année du 6 au 10 juin. Cette nouvelle fonctionnalité est fournie avec le système iOS 16, iPadOS 16 et macOS Ventura et est spécialement conçue pour contrer les cyberattaques.
L’objectif annoncé est de contrer laugmentation massive des menaces des logiciels espions développés par des entreprises privées, ou des groupes parfois parrainés par des États, comme Pegasus. Lutilisateur pourra alors activer lui-même ce nouveau mode de verrouillage sil suspecte une cybermenace.
« Le mode verrouillage est une capacité qui reflète notre engagement inébranlable à protéger les utilisateurs contre les attaques les plus rares et les plus sophistiquées », a déclaré Ivan Krstić, responsable de l’ingénierie et de l’architecture de sécurité chez Apple.
« Alors que la grande majorité des utilisateurs ne seront jamais victimes de cyberattaques très ciblées, nous travaillerons sans relâche pour protéger le petit nombre d’utilisateurs qui le sont. Cela inclut de continuer à concevoir des défenses spécifiquement pour ces utilisateurs, ainsi que de soutenir les chercheurs et les organisations du monde entier qui effectuent un travail d’une importance cruciale pour exposer les entreprises mercenaires qui créent ces attaques numériques ».
Le mode verrouillage offre un niveau de sécurité extrême et facultatif pour les très rares utilisateurs qui, en raison de qui ils sont ou de ce qu’ils font, peuvent être personnellement ciblés par certaines des menaces numériques les plus sophistiquées, telles que celles du NSO Group et d’autres sociétés privées qui développement des logiciels espions mercenaires parrainés par l’État. L’activation du mode verrouillage dans iOS 16, iPadOS 16 et macOS Ventura renforce encore les défenses de l’appareil et limite strictement certaines fonctionnalités, réduisant considérablement la surface d’attaque qui pourrait potentiellement être exploitée par des logiciels espions mercenaires hautement ciblés.
Des individus facilement identifiables
Une fois qu’Apple aura lancé le nouveau système d’exploitation pour iPhone et iPad au début du mois prochain, les utilisateurs pourront activer un nouveau mode de confidentialité que la société appelle «extrême». Il est conçu pour les journalistes, les militants, les politiciens, les défenseurs des droits de l’homme et toute autre personne qui pourrait craindre d’être la cible de pirates informatiques sophistiqués, travaillant peut-être pour des gouvernements armés de logiciels espions créés par des sociétés telles que NSO Group. Apple l’appelle « Mode de verrouillage » et cela fonctionne en désactivant certaines fonctionnalités régulières de l’iPhone qui ont été exploitées pour pirater les utilisateurs dans le passé.
Mais si les utilisateurs activent le mode de verrouillage, ils seront faciles à identifier et à pister, selon un développeur qui a créé un site Web de preuve de concept qui détecte si le mode de verrouillage est activé ou non. En d’autres termes, les utilisateurs du mode de verrouillage seront faciles à détecter et ils se démarqueront car le mode de verrouillage sera vraisemblablement relativement rare.
John Ozbay, PDG de la société Cryptee axée sur la confidentialité, et militant de la confidentialité, a déclaré que tout site Web ou publicité en ligne peut détecter si certaines fonctionnalités régulières sont manquantes, telles que le chargement de polices personnalisées, l’une des fonctionnalités que le mode de verrouillage désactive.
« Disons que vous êtes en Chine et que vous utilisez le mode verrouillage. Désormais, tout site Web que vous visitez peut détecter efficacement que vous utilisez le mode de verrouillage, ils ont également votre adresse IP. Ainsi, ils pourront réellement identifier que l’utilisateur avec cette adresse IP utilise le mode de verrouillage », a déclaré Ozbay. « C’est un compromis entre la sécurité et la confidentialité. [Apple] a choisi la sécurité ».
Ozbay a déclaré qu’il existe plusieurs fonctionnalités que le mode de verrouillage désactive et que les sites Web pourraient détecter, mais le manque de chargement de polices personnalisées est « la chose la plus facile à détecter et à exploiter ».
« Il nous a fallu cinq minutes pour assembler le code et voir si cela fonctionnait », a-t-il déclaré.
Ce problème, qui n’est techniquement pas un bogue mais juste un inconvénient spécifique de la conception du mode de verrouillage, pourrait peindre une cible massive sur le dos des utilisateurs qui sont probablement les utilisateurs les plus vulnérables d’Apple. Il n’y a malheureusement peut-être aucun moyen de contourner cela.
« En ce qui concerne le fingerprinting, c’est malheureusement un compromis auquel nous devons toujours faire face. Il en va de même pour Tor et le navigateur Tor – ils font tout leur possible pour réduire toute capacité de fingerprinting, mais vous finissez par vous démarquer parce que vous êtes celui qui a les empreintes numériques les moins traçables », a expliqué Ryan Stortz, un chercheur indépendant en sécurité qui a étudié iOS.
Ozbay a créé un site Web de preuve de concept qui détecte si le visiteur utilise le mode de verrouillage. Certains médias ont vérifié qu’il fonctionne en visitant le site Web avec un iPhone sans le mode de verrouillage activé et en demandant à Stortz, qui a activé le mode de verrouillage, de visiter le site.
Ozbay a contacté un employé d’Apple sur Twitter et a eu une conversation avec lui sur les problèmes qu’il a trouvés. L’employé, selon des captures d’écran de leur chat, lui a dit que « les polices Web sont désactivées intentionnellement pour supprimer l’analyse des polices de la surface d’attaque Web disponible » et que « les attaques par points d’eau font partie de notre modèle de menace, donc je ne suis pas sûr qu’il il serait logique d’avoir des exceptions de polices Web par site. (Les attaques par trou d’eau sont des exploits où les pirates attirent une victime vers un site Web connu où ils ont injecté des logiciels malveillants, ou une copie d’un site Web connu qui sert des logiciels malveillants.)
En d’autres termes, Apple ne peut rien faire pour le moment pour atténuer ce problème sans changer fondamentalement le fonctionnement du mode de verrouillage.
Même si Apple n’apporte aucun changement, Stortz espère que si suffisamment de personnes activent le mode verrouillage, tout le monde se fondra et il sera plus difficile d’être identifié comme une cible intéressante.
« De toute évidence, vous devez opter pour le mode verrouillage et signaler en quelque sorte que vous pensez être potentiellement intéressant pour un attaquant d’un État-nation, mais Apple a également rendu l’activation extrêmement facile », a-t-il déclaré. « Donc, idéalement, vous seriez perdu dans la foule de personnes plus soucieuses de leur vie privée sans les problèmes d’espionnage ciblés ».
Apple va offrir une récompense de deux millions de dollars aux hackers qui réussiront à contourner le mode Lockdown d’iOS 16
Pour inviter les commentaires et la collaboration de la communauté des chercheurs en sécurité, Apple a également créé une nouvelle catégorie au sein du programme Apple Security Bounty pour récompenser les chercheurs qui trouvent des contournements du mode de verrouillage et aident à améliorer ses protections. Les primes sont doublées pour les découvertes éligibles en mode verrouillage, jusqu’à un maximum de 2 000 000 $ – le paiement de prime maximum le plus élevé de l’industrie.
Apple accorde également une subvention de 10 millions de dollars, en plus des dommages-intérêts accordés dans le cadre du procès intenté contre NSO Group, pour soutenir les organisations qui enquêtent, exposent et préviennent les cyberattaques hautement ciblées, y compris celles créées par des entreprises privées développant des logiciels espions mercenaires parrainés par l’État. La subvention sera versée au Fonds Dignité et Justice créé et conseillé par la Fondation Ford – une fondation privée dédiée à la promotion de l’équité dans le monde – et conçue pour mettre en commun des ressources philanthropiques pour faire progresser la justice sociale dans le monde. Le Dignity and Justice Fund est un projet financé par le New Venture Fund, un organisme de bienfaisance public 501(c)(3).
« Le commerce mondial des logiciels espions cible les défenseurs des droits humains, les journalistes et les dissidents ; il facilite la violence, renforce l’autoritarisme et soutient la répression politique », a déclaré Lori McGlinchey, directrice du programme Technologie et société de la Fondation Ford. « La Fondation Ford est fière de soutenir cette initiative extraordinaire visant à renforcer la recherche et le plaidoyer de la société civile pour résister aux logiciels espions mercenaires. Nous devons nous appuyer sur l’engagement d’Apple, et nous invitons les entreprises et les donateurs à rejoindre le Fonds Dignité et Justice et à apporter des ressources supplémentaires à cette lutte collective ».
Le Fonds Dignité et Justice prévoit d’accorder ses premières subventions à la fin de 2022 ou au début de 2023, en finançant initialement des approches pour aider à exposer les logiciels espions mercenaires et protéger les cibles potentielles qui incluent :
- Renforcer les capacités organisationnelles et accroître la coordination sur le terrain des groupes de recherche et de plaidoyer nouveaux et existants de la société civile sur la cybersécurité.
- Soutenir le développement de méthodes d’analyses numériques normalisées pour détecter et confirmer l’infiltration de logiciels espions qui répondent aux normes de preuve.
- Permettre à la société civile de s’associer plus efficacement aux fabricants d’appareils, aux développeurs de logiciels, aux entreprises de sécurité commerciales et à d’autres entreprises concernées pour identifier et traiter les vulnérabilités.
- Sensibiliser les investisseurs, les journalistes et les décideurs politiques à l’industrie mondiale des logiciels espions mercenaires.
- Renforcer la capacité des défenseurs des droits humains à identifier et répondre aux attaques de logiciels espions, y compris des audits de sécurité pour les organisations confrontées à des menaces accrues sur leurs réseaux.
« Il existe désormais des preuves indéniables issues des recherches du Citizen Lab et d’autres organisations que l’industrie de la surveillance mercenaire facilite la propagation des pratiques autoritaires et des violations massives des droits de l’homme dans le monde », a déclaré Ron Deibert, directeur du Citizen Lab, un groupe de recherche à l’Université de Toronto. « Je félicite Apple d’avoir créé cette subvention importante, qui enverra un message fort et aidera à nourrir les chercheurs indépendants et les organisations de défense des droits tenant les fournisseurs de logiciels espions mercenaires responsables des dommages qu’ils infligent à des personnes innocentes ».
Et vous ?
Que pensez-vous du Mode de verrouillage en général ?
Quelle lecture faites-vous du fait qu’il puisse être utilisé pour repérer justement les mêmes personnes qui ont besoin d’une protection de leurs données un peu plus poussée que la moyenne ?
Une situation paradoxale ? Dans quelle mesure ?