Une semaine après la révélation de vulnérabilités iOS graves par Google, Apple critique la version des faits de ce dernier. Pas de mention faite de la Chine, pourtant suspectée d’avoir exploité les failles.

On se doutait déjà que la révélation allait rester en travers de la gorge d’Apple. L’équipe de cybersécurité de Google avait dévoilé il y a une semaine l’existence d’une des pires séries d’attaques de l’histoire d’iOS, qui a permis d’installer des spywares avec accès superutilisateur sur des téléphones de la minorité ouïghoure en Chine. Après une dizaine de jours de silence, la firme à la pomme s’est fendue d’un communiqué où elle s’attaque essentiellement… à Google.

Apple a en effet quelques raisons de penser que la révélation de Google n’était pas complètement désintéressée. Si ce n’est sur le fond, du moins sur le timing. Ces informations, très dommageables pour la réputation d’iOS sur la sécurité, étaient connues et réparées depuis février. Pourtant, Google a choisi d’en parler en août, peu de temps avant la sortie d’Android 10 et le jour même de l’annonce de la keynote de l’iPhone 11. La firme de Mountain View ne mentionnait qu’iOS, alors que d’autres sources ont vite suggéré qu’Android et Windows étaient également exploités.

La contre-attaque d’Apple

Premier point soutenu par le géant fruité : « cette attaque sophistiquée avait une visée limitée, et n’était pas un exploit global d’iPhone « en masse » comme cela a été décrit. » Il s’agit de redorer l’image d’iOS sur la sécurité et surtout sur la vie privée, un point où l’entreprise de Tim Cook a plutôt l’habitude de remonter les bretelles des autres.

« Le billet de Google, publié six mois après que des patchs iOS ont été rendus disponibles, crée la fausse impression d’une « exploitation de masse » pour « surveiller les activités privées de populations entières en temps réel », attisant la peur auprès de tous les utilisateurs d’iPhone que leur appareil a été compromis. Cela n’a jamais été le cas. »

Le deuxième argument porte lui sur des faits concrets. Les chercheurs de Google affirmaient que les sites malveillants étaient restés en ligne sur une période d’au moins deux ans. Mais Apple soutient que les attaques, elles, ont été limitées à une fenêtre de deux mois.

« Toutes les preuves indiquent que ces attaques par sites web étaient uniquement opérationnelles pour une brève période, environ deux mois, et non pas « deux ans » comme Google le suggère. Nous avons réparé les vulnérabilités en question en février — travaillant extrêmement rapidement pour résoudre le problème seulement 10 jours après que nous en ayons entendu parler. Quand Google nous a approché, nous étions déjà en train de réparer les bugs exploités »

Face à ces déclarations, Google reste sur ses positions. « Nous maintenons nos recherches détaillées qui ont été écrites en se focalisant sur les aspects techniques de ces vulnérabilités », déclare la firme dans un communiqué de presse.

Pas de mots contre la Chine

Grande absente du communiqué : la Chine. Si l’implication de Pékin n’est pas formellement prouvée, tous les doigts se pointent dans sa direction. Les mots d’Apple — « l’attaque a affecté moins d’une dizaine de sites web concentrés sur du contenu lié à la communauté ouïghoure » — semblent même minimiser cette partie de l’affaire, alors que les Ouïghours sont la cible d’une surveillance technologique très poussée au Xinjiang chinois. Entre 1 et 2 millions de Ouïghours sont aujourd’hui internés dans des « camps de rééducation » du fait de données collectées à leur sujet par les autorités.

Si l’attitude d’Apple pourra sembler lâche sur le plan des idéaux, elle est relativement pragmatique dans le monde cynique de la géopolitique. La Chine est la deuxième puissance économique mondiale, et Apple n’est qu’une entreprise privée, qui en est d’ailleurs dépendante pour toute sa chaîne de production. Face au poids de l’Empire du Milieu, plusieurs puissants pays musulmans, comme l’Arabie saoudite ou le Pakistan, ont préféré soutenir aux politiques chinoises envers les Ouïghours — pourtant persécutés pour leur pratique de l’islam.

Le déséquilibre de puissance entre la Chine et Apple ne laisse à ce dernier que peu de marge de manœuvre. Mais on doute que cela puisse servir d’excuse auprès des observateurs et des consommateurs. Alex Stamos, ex-directeur de la cybersécurité de Facebook à la langue bien pendue, a ainsi tweeté une version plus véhémente de la déclaration d’Apple avec la mention « j’ai corrigé votre communiqué de presse pour vous ».

Les Ouïghours en Chine, du rêve technologique au cauchemar orwellien