S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

iCloud : Apple possède les clés et peut lire les données

Obligation de l'un, confort de l'autre

iCloud est le bouquet de services d’Apple dont la popularité grandit depuis l’arrivée d’iOS 5 en particulier. Les comptes sont utilisés pour synchroniser de nombreuses informations et les utilisateurs peuvent ainsi se passer complètement de branchement à l’ordinateur, la connexion Wi-Fi s’occupant de tout. Mais la sécurité peut se révéler limitée sur certains aspects mis en lumière par Ars Technica.

icloud

« Si vous pouvez le voir dans le navigateur, ils peuvent le voir sur le serveur »

Le site revient à la charge après avoir publié voilà deux semaines un premier article consacré à la sécurité d’iCloud. La conclusion était qu’en dépit de l’utilisation de techniques de protection diverses telles que le chiffrement des données, ces dernières pouvaient théoriquement être consultées à la demande. Un état de fait dont Apple annonce la couleur dans ses conditions d’utilisation, puisque la firme « peut examiner au préalable, déplacer, refuser, modifier et/ou supprimer à tout moment du Contenu, sans préavis et à son unique discrétion, si ce Contenu s’avère contraire aux dispositions du présent Contrat ou est autrement contestable ». Une position en fait obligatoire compte tenu des exigences de DMCA américain.

Pour réaliser ces opérations, Apple détient forcément des informations, notamment des clés, lui permettant d’inspecter les données. Rich Mogull, PDG de la société Securosis, l’explique très clairement : « Si vous pouvez accéder à quelque chose via une page web, cela signifie que le serveur web a la clé. On sait ainsi qu’Apple pourrait accéder au minimum à tout ce qu’iCloud peut afficher dans un navigateur. C’est vrai pour Dropbox, box.net et à peu près n’importe qui d’autre : si vous pouvez le voir dans le navigateur, ils peuvent le voir sur le serveur. iCloud n’est pas chiffré par une clé définie par l’utilisateur, il est protégé par des clés qu’Apple définit et contrôle ».

Une réponse complétée par celle de Robby Gulri, responsable en sécurité du cloud chez Echoworx. Selon lui, Apple suit bien les « best practices » en termes de sécurité comme l’utilisation de SSL pour les transmissions ou le chiffrement 128 bits des données sur le disque. Mais il met en garde : « Ce n’est pas parce que les données sont chiffrées qu’elles sont forcément en sécurité. Dans un système symétrique de chiffrement, il y a toujours une porte dérobée. Il existe toujours la possibilité qu’un employé voleur utilise la clé maitresse pour déchiffrer vos données et y accéder ».

Un curseur à déplacer entre la simplicité et l'efficacité

Le même Robby Gulri indique que la sécurité d’iCloud serait bien plus forte si un chiffrement asymétrique PKI était mis en place. Avec une telle architecture, toutes les clés ne se retrouveraient plus sur le même trousseau. Une clé publique serait ainsi utilisée pour le chiffrement sur le disque avant l’envoi, puis une clé privée lorsqu’il s’agirait de récupérer des données sur le serveur. Une clé privée qui serait à la seule discrétion de l’utilisateur, non communiquée à Apple ou tout autre tiers.

Selon Gulri recommande également que les chaines de chiffrement fassent l’objet d’audit régulier car il rappelle que la force d’une chaine ne dépasse pas celle de son maillon le plus faible. Enfin, il estime que les plateformes mobiles devraient sérieusement améliorer leur gestion des systèmes PKI, jugée trop faible car trop complexe à mettre en place.

Si ces risques ne sont évidemment pas très parlants pour le grand public, le monde de l’entreprise est davantage concerné. Ars Technica indique que tous les experts en sécurité interrogés étaient d’accord avec un conseil : ne pas utiliser iCloud en entreprise.

Finalement, les utilisateurs qui ne se sentent pas à l’aise avec iCloud ont plusieurs solutions. Ils peuvent décider bien sûr de ne pas s’en servir. Mais ils procèderont peut-être comme Robby Gulri le conseille : n’activer la synchronisation des données que pour celles qui ne sont pas sensibles. Pour sa part, il ne l’active que pour les photos et le contenu d’iTunes. Les données plus personnelles telles que les contacts peuvent utiliser un autre système ou ne faire l’objet d’aucune synchronisation. 
Source : Ars Technica
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 04/04/2012 à 12:15

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 81 commentaires

Avatar de jimmy_36 INpactien
jimmy_36 Le mercredi 4 avril 2012 à 12:34:14
Inscrit le mardi 27 septembre 11 - 672 commentaires
Pourquoi ne pas chiffrer soit même les données avant d'envoyer ou recevoir des informations de iCloud ?
Apple n'aurait aucun moyen de les déchiffrer.
Avatar de Earl INpactien
Earl Le mercredi 4 avril 2012 à 12:34:34
Inscrit le lundi 7 juin 04 - 7398 commentaires
Qui en doutait ?

Il faut bien qu'ils puissent le faire, ne serait-ce que pour pouvoir répondre aux réquisitions judiciaires.

Avatar de 2show7 INpactien
2show7 Le mercredi 4 avril 2012 à 12:37:55
Inscrit le vendredi 24 juillet 09 - 9724 commentaires
Madame(i)Cloud ?



mdr2.gif

Edité par 2show7 le mercredi 4 avril 2012 à 12:39
Avatar de FedoLFS INpactien
FedoLFS Le mercredi 4 avril 2012 à 12:37:50
Inscrit le lundi 19 mars 12 - 15 commentaires
C'est normal qu'ils contrôle ...
Si aucun contrôle :
1) iCloud = MegaUpload Bis
2) Apple risquerai de grâve sanctions judiciaires
Avatar de texnexx INpactien
texnexx Le mercredi 4 avril 2012 à 12:40:44
Inscrit le dimanche 7 janvier 07 - 235 commentaires
Je trouve cette brève tres floue ! On mélange le fait que appel dispose de clé maitresse pour dechiffrer tout le contenu de l'icloud et de l'autre on nous laisse croire que " si cest le navigateur ils peuvent le voir sur leurs serveurs " en gros une sorte de fail/hack dont apple tirerait avantage de maniere deloyale !
Qui plus est, je vois pas a quoi servirait une clé maitresse a apple dans la mesure ou ils leurs suffit de se connecter sur le compte icloud du client et de recuperer les données !
Avatar de SuperMot INpactien
SuperMot Le mercredi 4 avril 2012 à 12:50:13
Inscrit le mardi 24 janvier 06 - 680 commentaires
C'est normal qu'ils contrôle ...
Si aucun contrôle :
1) iCloud = MegaUpload Bis
2) Apple risquerai de grâve sanctions judiciaires


Megaupload était tourné vers l’échange, la il s'agit d'un espace de sauvegarde personnel.

Si il n'y a pas de fonction de partage activé le DMCA ne devrais pas pouvoir s'appliquer.
Avatar de luinil INpactien
luinil Le mercredi 4 avril 2012 à 12:54:35
Inscrit le samedi 10 juin 06 - 1040 commentaires
Je trouve cette brève tres floue ! On mélange le fait que appel dispose de clé maitresse pour dechiffrer tout le contenu de l'icloud et de l'autre on nous laisse croire que " si cest le navigateur ils peuvent le voir sur leurs serveurs " en gros une sorte de fail/hack dont apple tirerait avantage de maniere deloyale !
Qui plus est, je vois pas a quoi servirait une clé maitresse a apple dans la mesure ou ils leurs suffit de se connecter sur le compte icloud du client et de recuperer les données !


A priori ils ne peuvent pas se connecter sur le compte d'un utilisateur (il faudrait qu'ils connaissent le mdp...) et donc ils ne peuvent pas récupérer les infos par ce moyen là, la seule chose qu'ils peuvent faire c'est récupérer le data du compte et le décrypter.
Ce qu'ils peuvent faire car ils ont la clef.

De plus la partie sur le navigateur veux juste dire, si ils arrivent à lire le data pour l'envoyer sur le client web, ils peuvent le décrypter (car si ils ne peuvent pas le décrypter, alors ils ne peuvent pas l'envoyer sur le client mail). Le hack and co c'est ton imagination ^^'
Avatar de picatrix INpactien
picatrix Le mercredi 4 avril 2012 à 12:54:39
Inscrit le mardi 10 mai 11 - 417 commentaires
Parce que vous pensez que Google se gêne pour faire pareil avec le sien ?
Commentaire de Ricard supprimé le 04/04/2012 à 13:52:19 : Troll ou incitation au troll
Avatar de canti INpactien
canti Le mercredi 4 avril 2012 à 12:55:36
Inscrit le lundi 5 mai 03 - 4351 commentaires
Pourquoi ne pas chiffrer soit même les données avant d'envoyer ou recevoir des informations de iCloud ?
Apple n'aurait aucun moyen de les déchiffrer.


bah parceque quand tu prends une photo / stocke un contact, c'est apple qui s'occupe de le synchroniser sur le cloud, c'est pas toi qui le pousse... apres tu peux mettre des fichiers cryptés, mais tu perds l'interet du cloud.

C'est globalement la même chose pour tout les services de cloud, apres il y a de softs (je n'en connais pas particulièrement, mais j'en ai entendu parlé) qui font l'encryption avant de pousser les fichiers sur le cloud, mais il faut que l'application soit intégré dans ton device pour profiter des services du cloud...
;