Nous dépendons de nos smartphones, tablettes et ordinateurs. La sécurité numérique est donc importante pour nous, que nous en sachions ou non. Mais c’est aussi difficile à comprendre: nous n’avons guère d’autre choix que de lui faire confiance lorsqu’une entreprise dit il fait tout ce qu'il peut pour assurer la sécurité de nos données et de nos informations, ils sont en fait je le fais. Ce sont eux les experts, non? Tu sais, comme Cible. Et Adobe. Et Yahoo. Et Facebook. Et bien d’autres encore.
Apple n'est pas à l'abri de problèmes de sécurité (il vient de corriger un énorme bug SSL dans IOS et OS X – si vous n’avez pas mis à jour, sauvegardez et faites-le maintenant). Mais contrairement à d’autres grands acteurs technologiques, l’entreprise a a publié un aperçu détaillé de ses mesures de sécurité, répondant à des questions clés sur la manière dont Apple sécurise les mots de passe, les données, les messages et les appareils des utilisateurs – une déclaration inhabituellement publique de la part d’une entreprise aussi secrète.
Vidéos recommandées
Le résultat: Apple prend tout cela très au sérieux – et peut-être différemment que d'autres entreprises. Voici quelques exemples.
Les clés (privées) sont entre vos mains
Une grande partie de l’infrastructure de sécurité d’Apple repose sur la cryptographie à clé publique, également appelée cryptographie asymétrique – une idée largement acceptée depuis les années 1970. (Renseignez-vous sur le fonctionnement du cryptage à clé publique ici.)
Même si quelqu’un pirate les serveurs d’Apple, Apple n’aura probablement pas beaucoup (voire aucune) de données iMessage à transmettre.
Et bien non. Il s'avère qu'Apple n'a que le publique clés pour des services comme iMessage et FaceTime, mais le privé les clés ne quittent jamais un appareil iOS particulier. Apple utilise ces clés publiques pour chiffrer chaque iMessage séparément pour chaque appareil (et seulement cet appareil). De plus, Apple supprime les iMessages une fois qu’ils ont été livrés avec succès (ou après sept jours s’ils ne sont pas reçus) afin qu’ils ne restent pas longtemps sur les serveurs d’Apple. (Les photos et les messages longs sont cryptés séparément, soumis aux mêmes règles de suppression.) Cela signifie que même si quelqu'un pirate Les serveurs d'Apple (ou un gouvernement leur assigne une assignation à comparaître), Apple n'aura probablement pas beaucoup (ou pas du tout) de données iMessage à exploiter. sur. Apple alerte également immédiatement les utilisateurs lorsqu'un nouvel appareil est ajouté à leur compte, empêchant ainsi quelqu'un d'ajouter illégalement un appareil afin qu'il puisse recevoir ses propres copies de vos messages.
Et votre porte-clés ?
Le trousseau iCloud d’Apple gère les données sensibles – comme les mots de passe et les numéros de carte de crédit – et les maintient synchronisées entre les appareils. Alors iCloud doit conservez une copie de ces données pour effectuer la synchronisation, n'est-ce pas? Et bien non.
Apple utilise une méthode similaire utilisant uniquement des clés publiques pour synchroniser les éléments du trousseau. Apple chiffre chaque élément séparément pour chaque appareil, et Apple ne synchronise qu'un seul élément à la fois selon les besoins, ce qui rend il est très difficile pour un attaquant de capturer toutes les données de votre trousseau, même si le système principal d'Apple était compromis. Pour obtenir votre trousseau, un attaquant aurait besoin à la fois de votre mot de passe iCloud et l'un de vos appareils approuvés pour en ajouter un - avec de ferventes prières, vous ne verrez jamais ces notifications qu'Apple envoie immédiatement lorsqu'un nouvel appareil est ajouté.
D'accord, qu'en est-il de la récupération facultative du trousseau iCloud? Pomme doit disposez de toutes les données de votre trousseau afin de tout restaurer, n'est-ce pas? Bien, Oui. Mais Apple a fait quelque chose d’intelligent ici aussi. Par défaut, Apple crypte les données de récupération du trousseau avec des modules de sécurité matérielle (HSM), des appareils renforcés utilisés par les banques et les gouvernements pour gérer les tâches de cryptage. Apple a programmé les HSM pour supprimer vos données après dix tentatives infructueuses pour y accéder. (Avant cela, les utilisateurs doivent contacter Apple directement avant de faire d'autres tentatives.) Pour empêcher quiconque de reprogrammer les HSM pour modifier leur comportement, Apple affirme avoir détruit les cartes d'accès administratif qui permettent les modifications du firmware.
Même Apple ne peut pas modifier le système sans remplacer physiquement des clusters entiers de HSM dans ses centres de données, ce qui constitue une barrière de sécurité physique assez importante pour les attaquants potentiels. Et même s’ils y parvenaient, l’attaque ne fonctionnerait que sur les porte-clés nouvellement stockés: ceux existants seraient toujours en sécurité.
Un éclair dans une bouteille
Apple a confirmé les soupçons de longue date selon lesquels les fabricants participeraient au programme Made for iPhone d'Apple. doit inclure un circuit cryptographique fourni par Apple pour l'accès Bluetooth, Wi-Fi ou Lightning aux appareils iOS. Le circuit prouve qu'un appareil est autorisé par Apple; sans cela, les accessoires iOS se limitent aux commandes audio analogiques et de lecture audio: assez pour les haut-parleurs, mais pas d'accès à vos applications ou données. Certains pourraient affirmer que cette puce personnalisée est un exemple de la façon dont Apple vous oblige à acheter ses propres produits, mais elle signifie que les chances sont très faibles que le fait de brancher quelque part pour charger votre appareil compromette sa sécurité.
Le sommet de l'iceberg
Le livre blanc d'Apple traite de nombreuses autres technologies comme Siri (y compris la durée pendant laquelle Apple conserve les données), le processeur A7 64 bits et celui de l'iPhone 5S. Fonctionnalité TouchID (Apple estime que les chances qu'une empreinte digitale aléatoire corresponde à la vôtre sont d'environ 1 sur 50 000) et comment les applications et les données sont sécurisées dans iOS lui-même. Les experts en sécurité réfléchiront longtemps au contenu.
Certains pourraient affirmer que cette puce personnalisée est un exemple de la façon dont Apple vous oblige à acheter ses propres produits.
Le document d’Apple constitue un solide pas en avant. On pourrait espérer que cela inspirera d’autres entreprises à détailler comment ils sécuriser les données des utilisateurs – mais je ne retiendrais pas mon souffle.
Recommandations des rédacteurs
- Votre prochain iPhone n’aura peut-être pas de cadre. Voici pourquoi cela pourrait être un problème
- Comment télécharger la version bêta de watchOS 10 sur votre Apple Watch
- Comment télécharger la version bêta d'iOS 17 sur votre iPhone dès maintenant
- Le dernier iPhone SE d'Apple peut être le vôtre pour 149 $ aujourd'hui
- J'ai enfin eu une Apple Watch Ultra. Voici 3 façons dont cela m'a surpris
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
