Par Pierre Fontaine, 01net., le 11/03/15

Face au succès des iPhone et iPad, la CIA a redoublé d’efforts pour trouver des failles dans les produits d’Apple et pour contourner leur sécurité, niant une fois de plus les libertés et la vie privée de centaines de millions de personnes.

Depuis juin 2013, la NSA et la CIA se passent le relais avec une constance qui force le respect pour tenir le rôle-titre des révélations liées à des documents d’Edward Snowden. Dernière en date, mise en lumière par The Intercept, une tentative étalée de 2010 à 2012 de la CIA pour compromettre la sécurité des appareils Apple.
Chaque année, l’agence américaine organisait un évènement baptisé Jamboree, où des experts en sécurité faisaient la démonstration de leur manière de craquer le code de sécurité des iPhone, des iPad et des outils de développement mis à disposition par Apple.

Warrior Pride adapté ?
Le document remis par Edward Snowden contient dix diapositives, chacune montrant différentes tentatives d’affaiblir ou mettre à terre les mesures de sécurité des appareils produits par Apple – soit par un accès physique, soit à distance. Certains de ces slides laissent d’ailleurs craindre que la CIA a réussi à développer des plugins pour l’iPhone qui lui permettent de contourner les mesures de sécurité. « Si c’est sur le téléphone, nous pouvons y accéder », lit-on en bas d’une de ces diapositives. Cette dernière porte également le logo des services secrets britanniques et la mention du programme Warrior Pride, révélé l’année dernière. L’objectif de la CIA aurait été de porter sur iOS les fonctionnalités de ce programme d’espionnage, capable d’allumer le micro de l’appareil à distance, de suivre l’appareil avec une grande précision ou encore d’explorer et dérober toutes les informations présentes.

Surveillance de masse
Si la lutte contre le terrorisme est une des excuses souvent mises en avant pour « justifier » ces activités en violation des droits et de la vie privée de centaine de millions de personnes, la CIA semble s’être un peu écartée de ce chemin. On lit ainsi qu’elle a cherché à obtenir et extraire les clés GID et non UID. Ces dernières permettent l’accès aux données d’un seul téléphone, tandis que les clés GID sont communes à tous les smartphones utilisant un même type de processeur et garantissent la sécurité du micrologiciel des iDevices. Selon certains experts, notamment Jonathan Zdziarski, cela signifierait que la CIA ne cherchait pas à obtenir les données chiffrées d’appareils individuels mais « cherchait plutôt créer son propre firmware bas niveau à l’installer sur de nombreux appareils », expliquait-il à nos confrères de TechCrunch. Autrement dit, la CIA voulait une surveillance de masse et pas surveiller quelques individus suspects.
En amont de la chaîne
Autre point préoccupant : la CIA ne s’est pas contentée d’agir en fin de chaîne. L’agence aurait visé de nombreux développeurs d’applications afin de compromettre la sécurité de leur ordinateur. Les experts de la CIA indiquent même avoir développé une version altérée de XCode, outil au cœur du développement de logiciels pour l’écosystème Apple. Ce XCode corrompu permettrait d’installer des portes dérobées dans les applications qu’il contribuerait à créer. Les documents présentés par The Intercept ne donnent pas d’explication sur la façon dont ces XCode verrolés pourraient être mis dans les mains des développeurs.
Les chercheurs de la CIA indiquent également avoir trouvé un moyen d’altérer le système de mises à jour de Mac OS X pour installer un keylogger sur les ordinateurs à la pomme.
Pour nombre d’experts, le fait que les produits « américains » puissent être la cible de ce genre d’attaques est une première, inquiétante. D’autant que les documents ne disent pas si ces tentatives menées au fil des années ont été fructueuses ou soldées par des échecs.

Irresponsabilité
Les services secrets américains, en cherchant des failles et en essayant de les exploiter sans avertir Apple – en l’occurrence – préfèrent laisser les utilisateurs exposés – même à d’autres yeux scrutateurs. C’est d’une certaine manière irresponsable et une trahison de leur obligation de protéger les Américains et les libertés.
En l’occurrence, hélas, rien de nouveau, la NSA endosse déjà la responsabilité de l’existence de la faille Freak qui a affaibli différents navigateurs pendant de longues années, jusqu’à ces derniers jours.