Même si elle se porte garante de la protection de nos données personnelles, Apple n'a jamais été la championne de la transparence en matière de sécurité. Pourtant, depuis quelques années, sa politique en la matière a bien changé.
La publication de livres blancs reste plutôt rare à Cupertino, le dernier en date remonte à septembre 2015 et iOS 9. Mais pour fêter le printemps, la firme vient de publier une nouvelle version (adaptée à iOS10) qui se destine principalement aux entreprises, pour qui la sécurité est souvent un enjeu important. Quels sont les risques de se faire pirater ses données ? Quelles sont les éléments les plus exposés ? Comment fonctionne exactement le chiffrement du téléphone sur telle ou telle app ?
Dans ce papier, la firme répond de manière assez détaillée à toutes ces questions sans toutefois fournir l'ensemble des éléments techniques. On apprend par exemple comment l'ingénierie protège TouchID en évitant de réutiliser les mêmes clefs pour confirmer l'identification des utilisateurs. Tout un chapitre est également consacré à HomeKit et bonne nouvelle : votre maison ne devrait pas être en mesure de vous espionner, notamment grâce à la mise en place du système d'identification en deux étapes sur l'Apple TV 4.
La firme explique aussi pourquoi Siri est pour le moment aussi limité, notamment dans les interactions avec des applications tierces. L'assistant est en effet volontairement bridé pour ne pas transmettre trop d'informations personnelles à des tiers, qui pourraient les exploiter à votre insu. Le respect de la vie privée se pose à chaque brique (framework) d'iOS, comme pour le nouveau ReplayKit qui permet d'enregistrer votre écran : si un programme utilise ce système, tout est alors fait pour que vous en soyez informés.
Enfin, Apple fournit quelques détails sur le niveau de sécurité des transactions Apple Pay, et notamment lorsque vous utilisez hand-off pour passer d'un terminal à l'autre (d'un Mac à l'iPhone par exemple). Quant à ceux qui craignaient de voir leurs iMessages lus par des tiers, on y apprend que le système utilise des fonctions de hachage particulièrement poussées (HMAC-SHA256) et quasiment impossibles à casser sans un Super Ordinateur.
Enfin, Apple détaille (sommairement) son système de bug bounty qui récompense les personnes ayant découvert des failles importantes de sécurité. Pour l'heure, cette opération est encore limitée à quelques organismes validés par Cupertino, qui prévoit tout de même d'ouvrir plus largement le programme dans les mois à venir.
