par Joseph Menn

SAN FRANCISCO (Reuters) - Les récentes révélations d'un spécialiste de la sécurité informatique ont suscité un débat autour de la protection des données personnelles stockées dans des appareils utilisant le système d'exploitation iOS d'Apple.

Jonathan Zdziarski, qui s'exprimait lors d'une conférence de pirates informatiques le week-end dernier, a mis en évidence l'existence de "portes dérobées" normalement utilisées par les employés du groupe à la pomme mais qui pourraient être mises à profit pour collecter abusivement des données personnelles contenue dans un iPhone ou tout autre appareil fonctionnant avec le système d'exploitation iOS.

Lors de la conférence Hackers on Planet Earth (HOPE) à New York, le chercheur-hacker a expliqué qu'il ne pensait pas que ces fonctionnalités aient été mises en place volontairement à des fins d'espionnage. Il a en revanche précisé qu'elles collectaient davantage d'information que nécessaire, à l'insu des utilisateurs.

Le groupe de Cupertino s'est défendu des accusations de collusion avec la National Security Agency (NSA) qui ont émergé dans le sillage de cette présentation.

"Nous avons conçu iOS de façon à ce que les fonctionnalités de diagnostic ne compromettent ni la confidentialité des données personnelles (de l'utilisateur) ni la sécurité (de l'appareil) tout en permettant de fournir aux services informatiques des entreprises, aux développeurs et à Apple les informations nécessaires pour corriger les problèmes techniques", a déclaré le fabricant des iPhone et iPad.

DÉCOUPLAGE

Apple a également expliqué que pour pouvoir accéder à ces données restreintes de diagnostic, l'utilisateur doit avoir déverrouillé son appareil mobile et l'avoir autorisé à "se fier" à l'ordinateur auquel il est connecté.

Mais Jonathan Zdziarski affirme dans une vidéo publiée vendredi que ces services fonctionnent à l'insu des utilisateurs, qu'il est impossible de les désactiver ou de les bloquer et qu'il n'existe aucun moyen de vérifier les ordinateurs qui ont préalablement été "autorisés".

"Il n'y a aucun moyen de 'découpler' (un appareil mobile et un ordinateur), sauf à réinitialiser votre téléphone", explique-t-il dans cette vidéo publiée vendredi sur YouTube.

Il estime donc que les services destinés à contourner le cryptage des données stockées pourraient être mis à profit par les pouvoirs publics ou par des tiers mal intentionnés ayant accès aux ordinateurs "de confiance" auxquels l'appareil mobile a été connecté.

Pour l'analyste Rich Mogull, patron de la société de sécurité Securosis, si la présentation de Zdziarski a fait l'objet d'un battage médiatique excessif, ses fondements techniques sont exacts.

"Ils récoltent davantage (de données) que ce qu'ils devraient et cela passe par une altération de la sécurité", estime ce spécialiste.

A l'exception de l'intérêt autour de ces "portes dérobées" et de quelques rares autres problèmes techniques, les appareils utilisant l'iOS d'Apple sont généralement considérés comme plus fiable en termes de sécurité que ceux fonctionnant avec le système concurrent Android de Google, notamment parce que le géant de l'internet n'a pas la possibilité d'envoyer des mises à jour de sécurité directement dans les appareils.

(Myriam Rivet pour le service français, édité par Henri-Pierre André)