Cette semaine a vu la révélation de la présence d’un logiciel espion sur des smartphones chinois, et la réaction de différents constructeurs. Aujourd’hui, selon une entreprise spécialisée dans le domaine de la sécurité, c’est Apple qui garderait les données d’appels de ses clients à leur insu, sans que ceux-ci n’aient jamais donné leur accord.

Tim Cook, CEO d'Apple

Tim Cook, CEO d’Apple

Ces dernières années et particulièrement ces derniers mois, Apple s’est présenté comme le champion de la sauvegarde de la vie privée de ses utilisateurs. Il a ainsi imposé le chiffrement pour tous, puis s’est engagé dans une bataille avec la NSA, puis cette année avec le FBI afin de ne pas dévaluer le chiffrement mis en place. Pour autant, on apprend aujourd’hui qu’Apple enverrait sur iCloud les journaux d’appels des utilisateurs d’iPhone sans aucun accord de leur part et les y stockerait pendant plusieurs mois. Une véritable vulnérabilité puisqu’il suffit aux autorités américaines de disposer d’un mandat fédéral pour accéder aux datacenters d’Apple et ainsi aux données personnelles des utilisateurs.

Uniquement besoin d’avoir iCloud activé

Selon la société spécialisée dans la sécurité informatique Elcomsoft, l’iPhone d’Apple est programmé pour envoyer périodiquement le journal d’appels dans les serveurs d’iCloud, et ce sans choix ou notification de la part de l’utilisateur. Cette liste, gardée jusqu’à 4 mois dans le cloud d’Apple, comprend un trésor d’informations pour une agence telle que la NSA ou plus près de chez nous, la DGSI. En effet, celle-ci concerne tous les appels passés et reçus et comprend :

  • Les numéros de téléphone
  • Les heures et dates des appels
  • Leur durée
  • Les appels manqués
  • Les appels transférés
  • Les appels Facetime, audio & vidéo

Bien que les opérateurs américains gardent aussi ces journaux d’appels, et ce pendant plus d’un an, ce n’est pas forcément le cas partout à l’international et cela peut donc faire le bonheur des agences de renseignement. Rappelons qu’en France, la Loi Renseignement permet par exemple l’interception des appels, de manière administrative (et donc sans décision d’un juge, garant des droits des citoyens).

Encore pire sous iOS 10 ?

Mais cela pourrait s’avérer encore pire sous iOS 10. En effet, Apple propose aux développeurs un CallKit, qui permet à des applications comme Skype, WhatsApp ou Viber d’enregistrer eux aussi les données d’appels dans le journal d’appels et donc… d’être enregistré également dans le cloud. Ainsi, dans l’hypothèse ou une personne penserait être « à l’abri » en passant ses appels depuis une application tierce, les durées d’appels, les heures et dates, tout ce qui constitue ce qu’on appelle les métadonnées, chères à la NSA, se retrouve dans les datacenters d’Apple.

iCloud cible privilégiée des pirates

Peut-être cela devrait-il être un signe pour Tim Cook, puisqu’iCloud est un point faible de la chaîne de sécurité d’Apple, que ce soit concernant iMessage, ou concernant le piratage des comptes iCloud. En attendant, le meilleur conseil qu’on pourra vous fournir est de ne pas utiliser iCloud et plutôt d’utiliser un gestionnaire de mot de passe tel que KeyPass ou LastPass.