On ne joue pas avec la propriété intellectuelle d’Apple… et pas non plus sur ses plate-bandes dans la cybersécurité. C’est ce qu’est en train d’apprendre Corellium, startup qui propose à ses clients d’accéder à des appareils iOS virtuels depuis leur navigateur Web, notamment à des fins de recherche en sécurité informatique. Le géant à la pomme vient en effet de porter plainte contre la firme pour avoir recopié son logiciel en violation du copyright.
Le service de Corellium fournirait « un fac-similé numérique parfait d’un large éventail de produits Apple », affirme le dépôt de plainte, « ? recréant ainsi avec un soin fastidieux du détail, non seulement la manière dont le système d’exploitation et les applications apparaissent visuellement à des acheteurs de bonne foi, mais aussi le code informatique sous-jacent. Corellium le fait sans licence ou permission de la part d’Apple ».
L’action du géant de Cupertino est accueillie négativement par le milieu de la cybersécurité. « Une manière rapide de dépenser toute la bonne volonté qu’ils viennent de bâtir dans la communauté », tweete un informaticien. Le chercheur français Matthieu Suiche compare l’affaire à ce qu’il serait advenu si VMware ? un logiciel de virtualisation qui a joué un rôle majeur dans le développement du cloud computing ? avait été poursuivi de façon similaire.
https://twitter.com/msuiche/status/1162135182805229568?s=20
Machines virtuelles
Le business de Corellium consiste à proposer des machines virtuelles. Il s’agit de répliques logicielles parfaites d’un appareil physique, tel qu’un iPhone ou un iPad, mais vivant de manière dématérialisée, dans un logiciel dédié et sur un ordinateur normal. Un certain choix de logiciels de machines virtuelles existe d’ailleurs pour le grand public, tels que VirtualBox ou VMware.
Une machine virtuelle peut être dupliquée, backupée, et bidouillée autant qu’on le souhaite. Et si on y cause un accident malheureux suite à une mauvaise manipulation, pas de problème : il suffit de créer une autre machine virtuelle, ou de récupérer une version sauvegardée. Toutes ces actions sont bien plus laborieuses sur une machine physique. Et dans le cas de l’univers très fermé d’Apple, retaper un iOS hors service nécessiterait à chaque fois de se rendre à l’Apple Store en mettant la main à la poche.
Corellium a été salué par les experts en cybersécurité
Autant dire que l’arrivée de Corellium, en février 2018, a été saluée comme du pain béni par les experts en sécurité informatique. Pour trouver ou tester des failles, ceux-ci ont en effet besoin de manipuler le software d’iOS dans les manières les plus inventives et les plus risquées. Mark Dowd, patron de la firme de hacking Azimuth, avait à l’époque tweeté que le service de Corellium était « tout simplement magique ».
Corellium permet de rembobiner ou de passer en accéléré toutes les modifications effectuées sur ses iPhone, Apple Watch et Apple TV virtuels, en montrant le détail des lignes de code affectées. Créer une nouvelle machine après avoir cassé la précédente ne prend que dix minutes. D’autres limitations instaurées par Apple peuvent être passées outre.
« Les tests sur appareils iOS sont actuellement limités en ce que chaque appareil physique est verrouillé à une version particulière du firmware, vu qu’Apple ne laisse personne les rétrograder », déclarait alors David Wang, un des cofondateurs de Corellium et un grand nom de la communauté du jailbreak iOS. « Avec la virtualisation, les chercheurs peuvent bricoler avec n’importe quelle partie du système d’exploitation […] Le mieux est qu’ils peuvent le faire sans avoir à jailbreaker l’appareil », c’est-à-dire sans avoir à passer en mode superutilisateur.
Les vers dans la pomme
Corellium a ainsi pu opérer sans encombre pendant plus d’un an et demi, ce qui soulève des questions quant au timing de cette action en justice. Cette dernière tombe en effet quelques jours après l’annonce par Apple de l’extension de son propre programme de chasse aux bugs sous iOS, qui peut maintenant rapporter jusqu’à 1 million de dollars de récompense à des hackers triés sur le volet.
La firme de Cupertino a longtemps été critiquée par les experts en cybersécurité et autres hackers white hat pour son opacité et son peu d’enthousiasme à travailler avec des chercheurs tiers. En février 2019, la marque à la pomme a mis plus d’une semaine à prendre au sérieux une vulnérabilité grave qui lui avait été rapportée concernant l’application FaceTime.
Contrairement à l’usage en vigueur dans la Silicon Valley, Apple a été très réticent à récompenser financièrement les chercheurs qui lui faisaient part de nouvelles failles. Cela poussait certains à vouloir revendre sur le marché noir ces vulnérabilités inédites, dites 0-day, où elles sont très prisées des pirates malveillants et peuvent s’arracher pour jusqu’à des centaines de milliers de dollars.
Enjeux de renseignement ?
Et comme par hasard, pousser à revendre les failles, c’est maintenant une des choses qu’Apple reproche à Corellium. « Loin d’aider à réparer les vulnérabilités, Corellium encourage ses utilisateurs à vendre toute information découverte sur le marché au plus offrant », argumente le document juridique, qui met le contraste avec les programmes d’Apple de chasse aux bugs, et notamment sur le chiffre de « jusqu’à 1 million de dollars par rapport » qui ne date que d’il y a quelques jours.
Mais quand on voit l’insistance sur le soutien d’Apple à « la recherche en sécurité de bonne foi » et « légitime », on ne peut s’empêcher de penser à la proximité entre les fondateurs Corellium et certaines entreprises spécialisées dans la sécurité d’iOS. Dont notamment Azimuth, réputée pour vendre des failles iOS aux… agences de renseignement des États-Unis et des autres pays anglo-saxons, connues collectivement sous le nom de « Five Eyes ».
Corellium est proche d’Azimuth, firme réputée pour vendre des failles iOS aux agences de renseignement
Comme tous les systèmes d’exploitation, iOS a toujours souffert de failles. Mais aujourd’hui, quand elles touchent à la sécurité des données utilisateur ? c’est-à-dire très souvent ? elles titillent la sacro-sainte question de la vie privée, qu’Apple a élevé en son sein en un quasi enjeu de sécurité nationale. Enjeu qui doit donc être géré en interne et dans le secret, loin de tout embarras public, de tout acteur tiers perturbateur, et surtout des agissements indiscrets d’un gouvernement.
Tout cela semble indiquer que dans la plainte d’Apple contre Corellium, l’argument de la propriété intellectuelle n’est qu’un prétexte. Derrière se joue un jeu bien politique sur qui Apple voudra bien autoriser à exposer ses faiblesses. Avec peut-être, encore derrière, des histoires de services secrets et d’espionnage à la NSA.
Notre émission Twitch SURVOLTÉS, c’est un mercredi sur deux de 17h à 19h : retrouvez-vous nous pour parler voiture électrique ou vélo électrique, autour de débats, d’interviews, d’analyses et de jeux !
Dés qu'on te dit un peu la vérité sur apple tu piques ta crise! Relaxe Max
Suis pas énervé la Monster, toi et moi on est passé à autre chose. On s’ennuierait presque, pour la peine....
T'enerve pas markus! Je te sens un peu nerveuse là
T’es sénile, j’y peux rien 🤷🏻♂️
Donc t'assumes que tu changes de veste à chaque décision d'apple. Comme pour le leak de l'iphone...
Bah alors tu ne m'a pas bloqué ? Amoureuse ma petite ?
Non je vais lui fourrer autre chose dans le bouche.
Maintenant, vous vous roulez une pelle ! 👅
Évidemment, ils ont la licence 🤪 T’as pris tes gouttes on dirait, la vieille 😳
La pisseuse fuit devant le danger.
Sinon ton pseudo rapidkiller c'est en rapport avec le fait d'être un éjaculateur précoce ? C'est bien de parler de ton handicap et de partager ta souffrance
Non devant la bêtise ! Pharos a du travail !
Si apple avait autorisé t'aurais dit: "Apple c'est ouvert, c'est génial et ça se preocupe pour la securité! Simple et concert"
Allez hop ignorer !!!
Tu sembles vraiment avoir un souci avec la chose mais désolé je n’ai pas l’envie de t’écouter !
Comment tu es trop fort niveau vanne... je ne peux pas lutter devant tant de repartie ...
Ils n’ont pas de licence, donc aucun droit de virtualiser les logiciels. Simple et concrêt.
Comment tu es trop fort niveau vanne... je ne peux pas lutter devant tant de repartie ...
Modération pour ? Assume ce que tu est.
T’es ridicule ! Tu fais honte à la communauté ...
Qu'est-ce-quelle raconte Zahia ?
"On ne joue pas avec la propriété intellectuelle d’Apple… et pas non plus sur ses plate-bandes dans la cybersécurité." Apple et cybercriminalité? Vous confondez avec BlackBerry car Apple n'est pas au niveau de ce dernier question sécurité et encore moins sur la cybercriminalité. Pour schématiser, Apple vend du rêve et à part son cryptage commun a beaucou pde société tel AES-128 ou 256, rien de bien particulier. C'est du banal.
Rapidkilleuse c'est nôtre Zahia de FrAndroid.
Mon pauvre t’en es encore là ?
Et toi t’es Einstein ? Derrière un écran c’est facile hein !?! Vive la modération ici
c'est en effet du vol... donc Apple est dans son droit
T’as rien compris à l’article ... mdr
Et toi tu fanfaronnes en insultant bien caché ... un vrai courageux !!!
Donc pour éviter qu'au grand jour ne soit découvert les failles qu'Apple laisse à iOS pour les agences de surveillance anglo-saxon, Apple préfère faire fermer une entreprise de sécurité informatique ? Mouais, il ne faudrait pas que "par accident" tout le logiciel se retrouve sur certains réseaux...
Quelle gonzesses cette rapidkilleuse de mouche.
Apple propose une image de sauvegarde de son OS à chaque nouvelle version, ça prouverait que celle-ci n'est pas crypté du tout où alors que le cryptage est pitoyable.
"Le darkweb" ou "les darknets" mais pas "le darknet". Il faudrait déjà maîtriser le sujet pour pouvoir dévoiler plus que des secrets de polichinelle.
Vous oubliez un détail : les licences Windows étaient vendues et le sont encore. Celle d'iOS ne l'est pas. Ils ont donc toutes les clefs en mains pour gagner leur procès. Cela dit, ils devraient multiplier les bug bounties mais les failles devraient être divulguées après un certain temps pour pousser la société à renforcer la sécurité de ses OS.
Excellent. Une fois plus apple et sa sécurité mensongère mis au jour. Que vont dire les applefans ? 3.2.1 go go go.
Mais t'as quel age pour fanfaronner derrière un écran avec une telle vanne ?
Commence à nous faire chier ces fd p
Oh mais si, je crée des trucs. Par exemple je peux te créer un cerveau avec plus de mémoire vive pour pas que tu oublies (:
Produit quelque chose qu'on puisse te le voler vu que tu sembles trouver cela normal ... Mais j'oubliais, comme tu ne crées pas grand chose, t'es à l'abri
Pas Tre Tre sécurisé iOS si on peut voler le code !
Même avis, je comprends pas comment c'est possible.
IOS est pété de faille comme tout les autres, faut arrêter d'écouté le service marketing d'Apple les enfants, plutot que les rendres publiques certain hacker sur le darknet se font des bijoux de famille en or grâce a ses failles.
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix