Les ennuis s’accumulent pour Apple : le code source de l’iBoot de son iOS 9 a été publié sur GitHub. La firme l’a fait retirer et affirme qu’il est obsolète : mais sa divulgation demeure une menace réelle pour les utilisateurs d’iPhone.
iOS 9 est certes une ancienne version du système d’exploitation de l’iPhone, mais il demeure utilisé par 7% des utilisateurs, et peut contenir des éléments de code toujours utilisés sur les dernières versions d’iOS.
Divulgation d’une brique d’iOS 9 fondamentale pour la sécurité des iPhone
La divulgation du code source de son iBoot, cette brique d’iOS assurant le démarrage du système, sur GitHub semble d’ailleurs préoccuper fortement Apple. iBoot vérifie en effet que le noyau est bien signé par Apple avant de l’exécuter : c’est cette partie du système pour laquelle la firme à la pomme offre la plus forte récompense (jusqu’à 200 000 dollars) pour qui divulgue des vulnérabilités.
Ce code source avait déjà été présenté sur Reddit l’année dernière : « Ce post n’avait pas retenu l’attention de grand monde, car l’utilisateur était nouveau et n’avait pas assez de karma. Le post avait rapidement été enterré. Mais son arrivée sur GitHub prouve qu’il circule librement dans le milieu du jailbreaking, et dans les cercles de hacking d’iOS » explique Motherboard, qui a révélé l’affaire.
Mais sa publication sur GitHub a provoqué une prompte réaction de Apple, qui a fait jouer le DMCA, une loi américaine protégeant le droit d’auteur, pour faire retirer immédiatement les éléments – prouvant au passage que le code révélée était bien authentique. Et il a été téléchargé de nombreuses fois avant d’être retiré de GitHub.
Quand Apple se veut rassurant… sans réellement convaincre
Apple a, dans la foulée, publié un communiqué se voulant rassurant : « L’ancien code source d’il y a trois ans semble avoir été divulgué, mais la sécurité de nos produits ne dépend pas du secret de notre code source. De nombreuses couches de protection matérielle et logicielle sont intégrées à nos produits, et nous encourageons toujours nos clients à mettre à jour vers les versions les plus récentes du logiciel pour bénéficier des dernières protections. »
Pour être réellement rassuré, il faudrait croire Apple sur parole quand la firme affirme qu’aucun élément de l’iBoot d’iOS 9 ne sont encore présents sur iOS 10 et 11 – ce que rien ne garantit. Par ailleurs, quelques 70 millions d’iPhone utilisent encore dans le monde des version d’iOS inférieure à 10, et sont donc vulnérables à tous ce que hackers et pirates pourraient découvrir grâce à ce code source… Mais ne vous inquiétez pas, tout va très bien…