Depuis Windows Vista, sur PC, le système vous demande régulièrement si vous faites confiance à telle ou telle application. Chrome, Steam, StarCraft, BootCamp... A force de cliquer sur Oui, l'opération devient semi-inconsciente et ne sert plus vraiment à grand chose. On a vu le même phénomène opérer sur Mac avec les applications provenant d'internet, pour lesquelles Apple renvoie un message de confirmation avant ouverture. Pourtant, derrière cela, l'idée de départ était bonne : si un programme se lance tout seul, l'utilisateur aura toujours la possibilité de le bloquer avant qu'il n'aille infecter votre ordinateur.
Dans la beta 4 d'iOS 7, bon nombre d'entre-vous ont été surpris de voir ce message apparaitre dès que l'iPhone a été branché à un hôte USB :
Que peut bien vouloir signifier faire confiance, puisque c'est moi, en tant qu'individu, qui a pris l'initiative de brancher mon iPhone sur tel ou tel chargeur USB ou sur tel ordinateur ?! Evidemment, que je lui fais confiance ! Vous pouvez être certains que passé les premiers émois, tout le monde va cliquer sur Se fier à chaque fois, de peur que le téléphone ne se charge pas. (Si vous cliquez sue "ne pas se fier", le chargement fonctionnera quand-même, mais avouez que le message n'est vraiment pas clair) Seul intérêt, à première vue, il vous sera désormais possible de charger votre iPhone sur l'ordinateur d'un collègue (ou chez un ami), sans que ce dernier n'ait la possibilité de récupérer vos photos ou les contenus accessibles depuis iTunes. Encore faut-il que votre iPhone soit protégé par un code, sans quoi votre ami pourra toujours aller farfouiller dedans manuellement...
En réalité, Apple a mis en place cette pseudo-sécurité afin de combler une faille dont nous vous parlions début juin. Des chercheurs avaient réussi à hacker un iPhone avec un simple chargeur. Du moins, c'est ce que laissait penser l'article de Forbes, qui ne donnait pas beaucoup de détails sur la méthode (il ne faudrait pas que d'autres puissent l'exploiter avant qu'Apple ne corrige la faille). ArsTechnicadévoilé ce matin la technique utilisée, bien moins dangereuse qu'on aurait pu le penser. L'appareil n'exploite aucune faille, mais se contente de se faire passer pour l'ordinateur d'un développeur. En récupérant l'UDID de l'iPhone, le chargeur va ensuite se connecter à internet, générer un certificat, ce dernier lui permettant d'avoir accès à l'appareil comme tout bon développeur, et donc, de déployer n'importe quelle application. Il faut donc que le chargeur en question ait un accès à internet, un compte développeur à disposition, et ne dépasse pas la limite des 100 appareils fixée par le Dev Center. Dès lors, il parait bien difficile d'imaginer des chargeurs -dans les hotels par exemple- capables de pirater en masse les iPhone des clients.
Vous l'avez compris, tout ceci parait bien compliqué pour qu'Apple puisse se permettre de déranger l'utiliser à chaque fois qu'il branche son iPhone à un périphérique USB. Pourtant, le message ci-dessus prouve le contraire et tous les utilisateurs devront donc essayer de répondre régulièrement à cette question plutôt étrange. Vous pouvez être sûr que ma grand-mère va me passer un coup de fil la prochaine fois qu'elle poser son nouvel iPhone 5S sur son réveil muni d'un dock lightning...
N'aurait-il pas été plus judicieux de renforcer la sécurité entre un iBidule et l'ordinateur d'un développeur, par exemple ?
