Posted in

Apple défend la sécurité d’iOS dans une nouvelle déclaration et conteste les conclusions du projet zéro de Google


La semaine dernière, l’équipe de recherche en sécurité Project Zero de Google a décrit ce qu’elle a décrit comme « l’une des plus grandes attaques contre les utilisateurs d’iPhone jamais réalisées ». Aujourd’hui, Apple a réagi aux conclusions de Google, contestant de nombreuses affirmations.

Les résultats de Google publiés la semaine dernière détaillaient une série de sites Web piratés, qui diffusaient de manière aléatoire des programmes malveillants auprès des utilisateurs d’iPhone. Une fois qu’un utilisateur visitait l’un des sites Web malveillants et que le programme malveillant était déployé, l’implant « se concentrait principalement sur le vol de fichiers et le téléchargement de données de localisation en temps réel », jusqu’à une fréquence de 60 secondes.

Dans une nouvelle déclaration, Apple accuse le blog de Google de « créer la fausse impression d’une exploitation massive », bien que « cela n’ait jamais été le cas ». Apple affirme que les failles détaillées par Google n’ont jamais été « généralisées » et ont plutôt affecté moins d’une douzaine de sites Web axés sur le contenu ciblant la communauté ouïghoure. Cela a été signalé pour la première fois par TechCrunch Le weekend dernier.

Premièrement, cette attaque sophistiquée était ciblée et ne consistait pas en une exploitation massive des iPhones comme décrit. L’attaque a touché moins d’une douzaine de sites Web axés sur le contenu lié à la communauté ouïghoure. Quelle que soit l’ampleur de l’attaque, nous prenons la sécurité de tous les utilisateurs très au sérieux.

La publication de Google, six mois après la publication des correctifs iOS, donne la fausse impression d’une « exploitation massive » visant à « surveiller les activités privées de populations entières en temps réel », attisant la peur chez tous les utilisateurs d’iPhone que leurs appareils aient été compromis. Cela n’a jamais été le cas.

De plus, Apple affirme que les attaques sur le site Web n’ont été opérationnelles que « pendant une brève période », alors que Google a affirmé qu’elles ont duré « deux ans ». Apple a également réitéré que la vulnérabilité avait été corrigée dans iOS 12.1.4.

Deuxièmement, tout indique que ces attaques de sites Web n’ont été opérationnelles que pendant une courte période, environ deux mois, et non « deux ans » comme le suggère Google. Nous avons corrigé les vulnérabilités en question en février, en travaillant extrêmement rapidement pour résoudre le problème seulement 10 jours après en avoir été informés. Lorsque Google nous a contactés, nous étions déjà en train de corriger les bugs exploités.

Apple affirme que « la sécurité est un cheminement sans fin » et que la sécurité d’iOS est « inégalée ». L’entreprise affirme également qu’elle assume l’entière responsabilité du chiffrement de bout en bout sur tous ses appareils et dans ses logiciels :

La sécurité est un parcours sans fin et nos clients peuvent être sûrs que nous travaillons pour eux. La sécurité iOS est inégalée car nous assumons la responsabilité de bout en bout de la sécurité de notre matériel et de nos logiciels. Nos équipes de sécurité des produits du monde entier effectuent des itérations en permanence pour introduire de nouvelles protections et corriger les vulnérabilités dès qu’elles sont découvertes. Nous ne cesserons jamais notre travail inlassable pour assurer la sécurité de nos utilisateurs.

Lis le déclaration complète ici.

FTC : Nous utilisons des liens d’affiliation automatiques générant des revenus. Plus.

Balance connectée Withings