Le mode de verrouillage de l’iPhone est une forme extrême de sécurité conçue pour protéger les personnes qui pourraient être la cible de logiciels espions parrainés par l’État, comme Pegasus. Cependant, un militant de la protection de la vie privée affirme que cela permet également à un site Web de détecter facilement quand quelqu’un l’utilise – et l’a démontré.
Ainsi, ce qui est conçu pour être une protection contre les gouvernements voyous pourrait en fait finir par les aider à identifier les personnes susceptibles de les intéresser…
Mode de verrouillage de l’iPhone
Le mode de verrouillage a été développé par Apple en réponse à des logiciels espions comme Pegasus de NSO. Voici ce qu’Apple en dit :
Le mode verrouillage est une protection optionnelle extrême qui ne doit être utilisée que si vous pensez être personnellement la cible d’une cyberattaque hautement sophistiquée. La plupart des gens ne sont jamais visés par des attaques de cette nature.
Lorsque l’iPhone est en mode de verrouillage, il ne fonctionnera pas comme d’habitude. Les applications, les sites Web et les fonctionnalités seront strictement limités pour des raisons de sécurité, et certaines expériences seront complètement indisponibles.
L’une des choses que fait le mode est d’empêcher le chargement de polices personnalisées à partir de sites Web, car elles constituent un moyen potentiel d’injecter des logiciels malveillants.
L’utiliser pourrait faire de vous une cible
John Ozbay, PDG de la société Cryptee, axée sur la confidentialité, et militant de la confidentialité, a déclaré Carte mère que c’est cet élément qui crée un risque. Il est trivial pour un site Web de détecter lorsque le navigateur d’un visiteur ne peut pas charger de polices personnalisées, ce qui indique que le visiteur utilise probablement un iPhone en mode verrouillage.
« Disons que vous êtes en Chine et que vous utilisez le mode verrouillage. Désormais, tout site Web que vous visitez peut détecter efficacement que vous utilisez le mode de verrouillage, ils ont également votre adresse IP. Ainsi, ils pourront réellement identifier que l’utilisateur avec cette adresse IP utilise le mode de verrouillage », a déclaré Ozbay lors d’un appel. « C’est un compromis entre la sécurité et la confidentialité. [Apple] a choisi la sécurité.
Ozbay a déclaré qu’il existe plusieurs fonctionnalités que le mode de verrouillage désactive et que les sites Web pourraient détecter, mais le manque de chargement de polices personnalisées est « la chose la plus facile à détecter et à exploiter ».
Pour démontrer à quel point il est facile de le faire, Cryptee a créé un site Web de preuve de concept pour identifier ceux qui utilisent le mode de verrouillage. Ozbay a déclaré qu’il n’avait fallu que cinq minutes pour créer le code permettant de le faire.
Ryan Stortz, chercheur indépendant en sécurité, a convenu qu’il s’agissait d’un risque.
« De toute évidence, vous devez opter pour le mode de verrouillage et signaler en quelque sorte que vous pensez que vous êtes potentiellement intéressant pour un attaquant d’un État-nation. »
Apple ne peut rien faire pour empêcher cela
Il est important de souligner qu’il s’agit ne pas un bug du Lockdown Mode, mais plutôt une conséquence inévitable de ce type de protection. Stortz l’a comparé à l’utilisation de Tor.
« La prise d’empreintes digitales est malheureusement un compromis auquel nous devons toujours faire face. Il en va de même pour Tor et le navigateur Tor : ils se donnent beaucoup de mal pour réduire toute capacité d’empreintes digitales, mais vous finissez par vous démarquer parce que vous êtes celui qui a le moins d’empreintes digitales traçables.
Pas un problème pour la plupart des gens
Il convient de souligner que ce n’est pas un problème pour un utilisateur typique d’iPhone. Le mode verrouillage est conçu uniquement pour ceux qui ont des raisons de croire qu’ils pourraient faire l’objet d’une attaque ciblée individuellement par un État-nation. Cela comprend généralement des diplomates, des politiciens, des militants, des militants des droits de l’homme – ainsi que des journalistes et des avocats qui traitent de sujets que les gouvernements ne souhaitent peut-être pas voir exposés.
Même pour ceux qui fais ont besoin de ce niveau de sécurité, il leur faudrait toujours visiter un site Web sur lequel le code de détection est intégré. Cependant, pour les cibles individuelles, il ne serait pas difficile pour un gouvernement d’y parvenir, en incluant le code sur les sites Web que les cibles doivent visiter pour des choses comme les permis et les visas.
Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :
