iPhone : quel danger pour ses données personnelles ?

[Didier]

Depuis quelques mois, l'iPhone est pointé du doigt par les médias et les experts en sécurité, car les protections mises en places par Apple ne serait pas suffisantes pour éviter que les spywares passent les barrières de la validation de l'AppStore. De nombreux programmes ont été accusés de se servir de ces portes ouvertes pour collecter illégalement des données personnelles. Et ce n'est pas une blague, Apple reconnait le phénomène et dénombre plus de 100 applications malicieuses refusées chaque jour par l'AppStore.

Expert en développement Cocoa et en sécurité, Nicolas Seriot intervenait récemment à une conférence sur le sujet, à Genève, autour d'un par-terre de programmeurs iPhone. Reprenant point par point les différents scandales qui ont pu éclater ces dernières semaines, Nicolas a voulu aller plus loin. La localisation, les photos, certains caches non protégées (les historique de frappe, les logs WiFi)... Pour matérialiser ses recherche, Nicolas a mis en Open Source une application nommée SpyPhone, qui démontre point par point (PDF), jusqu'où on peut aller en matière de Spyware sur l'iPhone.

Entretien.

Lire la suite de l'article sur Mac4Ever...

[iBenji]

Le succès a toujours des inconvénients...

[toximityx]

En effet mais l'iphone est the innovation donc normal..

[foxley]

Le succès a toujours des inconvénients...

Ce n'est pas le succès qui crée des failles (ou autres)...

[iBenji]

@ Foxley :
Non c'est le succès qui les a dévoilée.

[romainhc]

Intéressant ce PDF ... maintenant, certains râleurs ne vont peut-être plus critiquer le système de validation d'Apple ... même s'il peut être amélioré.

J'imagine même pas ce qu'on peut trouver sur les autres "Store" qui ne sont pas contrôlés.

[gpsnail]

C'est un faux débat.... Quand on développe, on met des logs de partout et on essaye d'accéder à des éléments par exemple sous Windows on accède à la base de registre, sous Linux ou Mac, on accède aux fichiers de config, aux noms des réseaux, aux disques durs.... De quoi rendre parano et pourtant je le suis pas.

Je trouve perso plus un problème le fait de mettre sur Google Docs des documents personnels....

C'est plus un problème de programmeur que de plateforme.
Toute plateforme permet d'accéder à des éléments privés.

Et il est vrai que le contrôle par les petits Lutins est déjà une bonne preuve de la part d'Apple de vouloir éviter les programmes les plus curieux.

[arnaud]

@ gpsnail

C'est tout sauf un faux débat.

Je trouve perso plus un problème le fait de mettre sur Google Docs des documents personnels....

Ça c'est un autre débat.

C'est plus un problème de programmeur que de plateforme.

Bien sûr que c'est un problème de plate-forme. Sur les plate-formes informatiques traditionnelles, chaque utilisateur peut à loisir déployer les mesures de sécurité qu'il estime nécessaires. Sur l'iPhone, cette partie repose entièrement sur le travail d'Apple, soit sur l'OS lui-même, soit dans le processus de validation. L'utilisateur n'a pas de moyen de gérer lui-même le degré de transparence auquel il consent ou se résout.

Comme, en outre, les smatphone du niveau de l'iPhone sont des compagnons de tous les instants, au plus proche de la vie des utilisateurs ils regorgent d'informations de nature privée. J'ai, dans mon carnet d'adresses, des numéros de téléphones "sensibles". Je ne parle même pas de l'iPhone de Fillon.

[Linschn]

gpsnail a écrit:C'est plus un problème de programmeur que de plateforme.
Bien sûr que c'est un problème de plate-forme. Sur les plate-formes informatiques traditionnelles, chaque utilisateur peut à loisir déployer les mesures de sécurité qu'il estime nécessaires. Sur l'iPhone, cette partie repose entièrement sur le travail d'Apple, soit sur l'OS lui-même, soit dans le processus de validation. L'utilisateur n'a pas de moyen de gérer lui-même le degré de transparence auquel il consent ou se résout.

En théorie, arnaud a raison.
En pratique, quelle est la proportion d'utilisateur qui a les capacités techniques d'assurer sa sécurité ?
Elle est à mon avis proche de 0%. Même les experts en sécurité ne sont pas toujours irréprochables, tout simplement car à trop chercher la sécurité, l'ordinateur en devient inutilisable.

Le modèle d'Apple n'est pas totalement stupide, laisser le constructeur gérer la sécurité quand on sait que l'utilisateur cible est incapable de/ne veut pas le faire est plutôt cohérent. Là où ca pêche, c'est quand on s'aperçoit que le constructeur ne remplit pas son rôle, il est vrai que laisser tout le monde accéder à la cache du clavier, ça fait un peu fruit.

Pour appuyer mon point de vue, on peut citer l'exemple du ver sur les iPhones jailbreakés : quand on demande à l'utilisateur un truc aussi simple que changer le mot de passe par défaut et qu'il ne le fait pas, on peut se poser des questions.

[gillesb14]

Que dire alors des Black Berry dont les serveur de RIM voient transiter en clair tous les mails..... et qui ouvrent une porte d'accès aux serveurs exchange auxquels ils sont connectés?

A tel point que les services secrets Français avaient fermement invités certains nouveaux ministres a ne plus utiliser leur BB lors de la nomination du premier gouvernement Fillon.

[gpsnail]

@ arnaud

Ça c'est un autre débat.

C'est vrai mais ils sont très proches, notamment à cause des synchros en ligne.

Bien sûr que c'est un problème de plate-forme. Sur les plate-formes informatiques traditionnelles, chaque utilisateur peut à loisir déployer les mesures de sécurité qu'il estime nécessaires. Sur l'iPhone, cette partie repose entièrement sur le travail d'Apple, soit sur l'OS lui-même, soit dans le processus de validation. L'utilisateur n'a pas de moyen de gérer lui-même le degré de transparence auquel il consent ou se résout.

Il me semble que c'est parce qu'aucun logiciel ne permet de crypter des données sur l'IPhone (quoi que 1Password le permet peut être)
Sur Windows tu n'as pas plus de pouvoir... De même sur Mac surtout si à l'installation du logiciel tu donnes le mot de passe Administrateur...

Dans l'interview, il est bien dit cela :

Je n'ai pas d'expérience sur les autres plate-formes mobiles

Donc, je pense vraiment que c'est un problème global... ne pas mettre d'info confidentiel sur un smartphone qui ne crypte pas, il manque une application de cryptage en natif sur chaque Smartphone....

J'ai, dans mon carnet d'adresses, des numéros de téléphones "sensibles"

Je comprend tout à fait et le pire est si on synchronise avec Google, MobileMe ou un autre serveur exchange.

Pov Fillon, si il lisait cela il jetterai son IPhone....

[arnaud]

Ah mais oui, c'est un problème global, bien sûr. Ça touche, ces questions, absolument toutes les plate-formes mobiles.

[Coucou]

@ Gpsnail : En quoi la synchro avec MobileMe pose-t-elle des problèmes de sécurité ?

[Kalki]

Oh la mauvaise fois, dès qu'on touche à l'iPhone ou sa plateforme, ça y est, justification tirée par les cheveux en tout genre... ou bien c'est la faute des autres...

[nono95400]

Euh pour toutes les parties de son code qui utilisent les fichiers de préférences des applications (Safari Mobile, Wifi, Youtube...), Apple peut récupérer les strings de l'application et voir les chemins d'accès aux fichiers de préférences. Et à mon avis, ils font déjà cette vérification, toutes les failles liées au fichiers de préférences n'en sont pas.

Par contre si le programmeur crypte le chemin d'accès au fichier de préférences dans son code, ça peut peut-être passer...