iOS : les données des utilisateurs circulent à travers des services cachés

Un expert en sécurité a publié des révélations troublantes sur le fonctionnement interne d’iOS. Selon lui, le système mobile rassemble dans certaines zones des informations sensibles et personnelles sur l’utilisateur. Des zones qui peuvent être exploitées à distance, pour peu que l’on ait les bonnes informations techniques.

Un torrent d'informations récupérées sans consentement de l'utilisateur 

Jonathan Zdziarski est un expert en sécurité, adepte du jailbreak, qui a présenté à la conférence Hope X des résultats assez troublants sur ses propres consultations du fonctionnement d’iOS. Au sein du système mobile, plusieurs services sont ainsi chargés de rassembler des données dans des zones particulières de la mémoire, pour les exposer à certains mécanismes. Que sont-ils ? C’est justement toute la question.

Pour Zdziarski, le problème est particulièrement sérieux. Parmi les services, le plus représentatif est « com.apple.mobile.file_relay ». Il peut récupérer une montagne d’informations personnelles :

• La liste des positions géographiques enregistrées
• Les données des différents comptes email, Twitter et autres réseaux sociaux et services de stockage distant
• Une copie complète du carnet d’adresses, y compris les fiches qui ont été supprimées
• Une copie complète de la pellicule photographique, où le téléphone stocke tous les clichés
• Un cache de la structure des dossiers

Toutes ces informations sont placées dans un lieu unique et peuvent techniquement être accédées sans que le moindre mot de passe soit réclamé. Zdziarski indique ne pas savoir à quoi sert ce service, mais deux autres, nommés Pcapd et House_arrest pourraient avoir été mis en place pour permettre aux développeurs de gérer certains paramètres, ou à un support technique de réagir plus rapidement. Mais le premier permet de lire tout ce qui transite par le téléphone quand une connexion Internet est active, tandis que le second récupère des informations potentiellement sensibles dans les réseaux sociaux, le tout sans que le mode développeur ou support soit activé.

De potentiels outils très puissants 

Évidemment, exploiter ces informations n’est pas à la portée du premier venu. Selon Zdziarski, c’est même assez compliqué. Mais il part d’un principe simple : si lui y est arrivé, d’autres pourront le faire, d’autant que le fonctionnement de ces services pose la question d’une potentielle récupération des données par les agences de renseignement. Lui-même s’est développé pour son propre compte un logiciel exploitant ces services, afin de contrôler l’activité des smartphones de ses enfants.

Zdziarski est lui-même appelé régulièrement sur le terrain pour intervenir dans des enquêtes où son expertise est nécessaire. Il explique ainsi que les forces de l’ordre seraient tout à fait capables d’exploiter de telles portes ouvertes dans iOS. Car même si l’iPhone, l’iPad ou l’iPod Touch n’est pas présent sur les lieux, tout ordinateur ayant servi à effectuer ne serait-ce qu’une seule synchronisation garde en réserve un fichier contenant des clés particulières, qui déverrouillent les fameuses informations.

Ce problème de synchronisation ne s’arrête pas aux ordinateurs. Techniquement, tout appareil disposant de la capacité d’appairage, qu’elle soit en Wi-Fi ou en Bluetooth, peut être utilisé pour récupérer les clés. Zdziarski note cependant que la version 7 d’iOS ne permet plus de réaliser un appairage sans que l’utilisateur ait expressément donné son accord via, le plus souvent, une validation sur l’écran tactile. Toujours selon l’expert, les enquêteurs disposent ainsi d’une clé USB capable de travailler seule une fois branchée sur un ordinateur et de récupérer des informations. Il serait aisé de faire évoluer cette solution en tenant compte de ces découvertes. Techniquement, cela pourrait en fait être déjà le cas.

Des fonctions cachées, sans aucune documentation 

C’est bien là tout le souci : il s’agit de fonctionnalités existantes dans iOS mais qui n’ont aucune documentation. Si lui est parvenu à s’en servir et à détourner ces services pour les utiliser comme moyens de contrôle, la NSA peut en faire autant. L’agence n’a d’ailleurs pas nécessairement besoin d’accéder physiquement à un ordinateur ou un appareil synchronisé avec le smartphone si elle peut exploiter directement le service qui permet la lecture du flux à distance. La théorie semble d’autant plus valide que de très nombreux articles ont largement détaillé les méthodes parfois très élaborées de la NSA pour récupérer les informations dont elle a besoin.

Tout le danger réside dans le fait que ces fonctions existent et qu’aucune information n’est disponible à leur sujet. Dans une très longue présentation technique sur le sujet, Zdziarski passe d'ailleurs en revue les hypothèses de leur utilité. Mais qu’il s’agisse de support technique, de besoins des développeurs, d’iTunes ou de Xcode (l’environnement de développement intégré d’Apple), aucune ne lui semble acceptable.

Services cachés, failles 0-day : même combat 

On peut facilement dresser un parallèle entre cette situation et les failles 0-day que la NSA a désormais la réputation de collectionner à son propre bénéfice. Et les dangers de ce genre de pratique sont très concrets : il est impossible de savoir à un instant T quels sont les autres acteurs à bénéficier des autres connaissances. En d’autres termes, si ces fonctions ont été créées pour des besoins basiques ou pour la NSA, le résultat est strictement le même : personne ne peut affirmer qu’elles ne sont pas déjà utilisées de manière malveillante.

Pour Zdziarski, rien n’empêche aujourd’hui une personne possédant les bonnes connaissances techniques de profiter de la situation. Il explique que même avec iOS 7, qu’il présente pourtant comme une vraie évolution en termes de sécurité, l’installation de malwares parfaitement invisible reste possible.

Aujourd’hui, il demande à Apple d’expliquer à quoi servent ces fonctions, comme il l’a indiqué à Ars Technica, car il estime ne pas pouvoir utiliser « d’autre mots que porte dérobée » : « Ses seuls buts sont de balancer des données, contourner le chiffrement et vous donner la même quantité de données que vous obtiendriez dans une sauvegarde du téléphone, parfois même davantage. Nous avons vraiment besoin que quelqu’un chez Apple se lève et explique ce que ça fait là. Il n’y a aucune raison logique à sa présence sur 600 millions d’appareils ».

Apple s’explique mais ne convainc pas

Jonathan Zdziarski a publié ses découvertes sur son blog vendredi 18 juillet, mais c’est un article publié par The Hacker News qui lui donnera finalement sa grande visibilité. Et Apple n’a pas tardé à réagir : dans une réponse publiée la nuit-même sous la forme d’explications techniques, la firme indique essentiellement que tout est normal.

Apple aborde chacun des trois services qui ont été cités précédemment dans cet article, en précisant son utilité :

• com.apple.mobile.file_relay : rassemble des données de diagnostic qui pourront éventuellement servir plus tard, notamment par l’AppleCare, uniquement avec l’accord du client. Le service est séparé des sauvegardes classiques et n’a pas d’accès à l’ensemble des données du téléphone.
• com.apple.mobile.pcapd : permet la capture des paquets de diagnostics d’un appareil iOS vers un ordinateur de confiance. Apple indique qu’il est utile lors de diagnostics d’applications ne fonctionnant pas, ou pour les VPN d’entreprise.
• com.apple.mobile.house_arrest : le service est utilisé par iTunes pour le transfert des documents vers ou depuis un appareil iOS. Xcode s’en sert également pour transférer des données de test sur un appareil contenant une ou plusieurs applications en développement.

En d’autres termes, tout irait bien et chacun de ces services a été créé dans un but parfaitement légitime. La firme précise en outre que lors d’un échange entre un appareil iOS et un ordinateur de confiance, les données sont chiffrées avec des clés qui ne sont jamais partagées avec l’entreprise. Si la synchronisation sans fil est activée avec iTunes, ces services peuvent être utilisés à distance par l’ordinateur.

Cependant, Apple ne pouvait pas passer à côté d’une réponse plus claire sur des éventuels liens avec la NSA. Le site du support en ligne n’étant pas conçu pour ces questions, la firme a choisi de répondre directement au site iMore en indiquant qu’elle n’avait « jamais travaillé avec la moindre agence gouvernementale de quelque pays que ce soit pour créer une porte dérobée dans l’un de nos produits ou services ».

Jonathan Zdziarski a lui aussi réagi en publiant un autre billet sur son blog. Il ne croit absolument pas aux explications données par Apple, selon lesquelles « ces services sont uniquement destinés aux diagnostics ». Car si tel était le cas, il ne comprendrait pas pourquoi ces outils auraient besoin de rassembler des données « de nature extrêmement personnelle », en contradiction directe des explications données d’ailleurs par la firme.

Pour l’expert, de trop nombreux éléments contredisent Apple, sans parler de trainée de poudre laissée par les révélations successives d’Edward Snowden sur les capacités de la NSA. Il comprend le besoin pour la firme de posséder des outils de diagnostic, mais les trois cités précédemment vont bien au-delà de ces prérogatives, tout en brisant une forme de promesse implicite à l’utilisateur « quand il définit un mot de passe pour ses sauvegardes [chiffrées] : que les données sur son appareil ne pourront sortir de son téléphone que sous forme chiffrée ».