Les annonces faites par Apple lors de la WWDC cette semaine ont été fortement axées sur la sécurité et la confidentialité. Le géant américain de la technologie a connu quelques mois difficiles, avec de multiples problèmes et vulnérabilités signalés, et semble maintenant vouloir dépasser tout cela, pour réaffirmer ses références en matière de sécurité et de confidentialité, en se démarquant de la concurrence.
Mais Apple n’y arrive pas toujours, comme l’illustre parfaitement un problème de sécurité qu’il a d’abord nié, mais qu’il a soudainement confirmé en publiant un correctif. Ce correctif n’est cependant pas encore disponible, laissant les utilisateurs en danger. Il viendra avec iOS 14, prévu pour l’automne.
En février dernier, j’ai fait état d’un problème avec la fonction presse-papiers d’Apple. Comme l’ont révélé les chercheurs en sécurité Talal Haj Bakry et Tommy Mysk, toute donnée copiée dans le presse-papiers d’un appareil iOS pouvait être lue par n’importe quelle application active. Il n’y a aucune notification, aucun paramètre pour restreindre la capacité d’une application à accéder aux informations de l’utilisateur ; la vulnérabilité est cachée – les utilisateurs n’ont aucun moyen de savoir quand une application pourrait voler leurs données.
PLUS DE FORBESSimple piratage de sécurité d’Apple : si vous avez un iPhone et un MacBook, détournez le regard maintenantBy Zak Doffman
Pire, les chercheurs m’ont dit, « le Presse-papiers universel peut également être affecté par cette vulnérabilité pour écouter ce que les utilisateurs copient. » Ce que cela signifie, c’est que si vous copiez quelque chose sur votre Mac, cela peut être lu par une application sur votre iPhone. Et étant donné que nous avons tendance à utiliser le copier-coller plus sur un ordinateur de bureau ou un ordinateur portable que sur un téléphone, cela rend le problème beaucoup plus sérieux dans le monde réel.
« Nous avons reçu de nombreuses demandes sur ce point, » m’ont dit les chercheurs, « que nous avons ajouté une vidéo illustrant comment une application iPhone ou iPad peut écouter le presse-papiers sur Mac. »
Le problème a été signalé à Apple en janvier dernier. « Après avoir analysé la soumission, » expliquent les chercheurs, « Apple nous a informés qu’ils ne voient pas de problème avec cette vulnérabilité. » En substance, le point de vue d’Apple semblait être que la fonction du presse-papiers fonctionnait comme prévu. Il n’y avait pas de problème à corriger – rien à voir ici.
PLUS DE FORBESAttention si vous utilisez TikTok sur votre iPhone : Voici pourquoi vous devriez maintenant vous inquiéter-Nouveau rapport de sécuritéBy Zak Doffman
Les chercheurs ont même publié un suivi, montrant la façon dont des applications telles que TikTok, qui a soulevé beaucoup de ses propres problèmes de sécurité, « lisent le contenu du presse-papiers chaque fois qu’il est ouvert ». Et bien que les chercheurs reconnaissent que « nous ne pouvons pas dire avec certitude ce que TikTok fait avec les données qu’il a lues », c’est clairement une préoccupation. De son côté, TikTok m’a dit qu’il s’agissait d’un problème avec un SDK Google Ads et qu’il était en cours de résolution. Cela dit, Apple n’aurait pas dû laisser cela se produire en premier lieu.
Les chercheurs ont été très clairs à partir de leur divulgation initiale. Apple devrait inclure un paramètre de confidentialité, app par app, permettant d’activer ou de désactiver l’accès au presse-papiers. Et, à tout le moins, elle devrait faire clignoter une notification à l’écran lorsqu’une app accède au presse-papiers, « pour empêcher les apps d’exploiter le presse-papiers », disaient déjà les chercheurs en février, « Apple doit agir ».
Bien, malgré le fait qu’elle nie que ce soit un problème, il est suffisamment sérieux pour qu’un correctif spécifique soit apporté dans iOS 14. « Même si Apple nous a informés que ce n’était pas un problème lorsque nous l’avons signalé plus tôt cette année », Mysk m’a dit, « je pense qu’Apple a écouté les demandes et a reconsidéré ses pensées initiales sur le problème – ils l’ont corrigé de la manière exacte que nous avons recommandée dans notre article. » Mysk a également noté que la notification « est différente des bannières normales d’iOS – cela montre qu’Apple a spécifiquement conçu cela pour l’accès au presse-papiers. »
C’est une bonne décision – c’est un véritable problème et il doit être corrigé. Il aurait été préférable, cependant, qu’Apple en dise autant en février et mars lorsque cette question a été soulevée pour la première fois, plutôt que de sembler rejeter la préoccupation. J’ai contacté Apple à l’époque pour obtenir des commentaires, sans en recevoir aucun, et j’ai fait de même cette fois-ci, la correction étant maintenant attendue dans quelques mois.
« Je suis très heureux que nos recherches aient abouti à un changement aussi important qui protégera définitivement davantage la vie privée des utilisateurs », m’a dit Mysk. « Je voudrais mentionner que nous avons contacté Apple pour obtenir un commentaire après avoir découvert la correction. La réponse d’Apple a été très rapide et positive et ils ont demandé nos informations d’attribution. »
Suivez-moi sur Twitter ou LinkedIn.