Les informations issues de la boussole, du gyroscope et de l'accéléromètre collectées dans le dernier iPhone 5S d'Apple sont stockées dans une nouvelle puce appelée M7 qui permet un accès à ces données via l'API CoreMotion. La fonction est destinée aux développeurs d'applications, en particulier des apps de santé et de fitness. Mais si ces données sont utiles aux applications pour comptabiliser le nombre de calories brûlées et surveiller le rythme cardiaque de l'utilisateur pendant son exercice physique, elles sont aussi une aubaine pour les criminels et les services de renseignements américains. Comme toute entreprise américaine, Apple est dans l'obligation de fournir toutes les informations demandées aux agences gouvernementales US et, ce, sans prévenir les utilisateurs. Après les affaires Prism, XKeyscore et Sigint Enabling Project plus aucun doute n'est permis sur les pratiques des entreprises américaines dans ce domaine. Les dirigeants de ces firmes collaborent avec zèle et dans le secret sous peine de finir en prison pour trahison comme l'a si bien expliqué Marissa Mayer : « il est logique pour nous de travailler avec le système » .

De nombreuses études ont déjà montré que l'analyse de ces données pouvait révéler des détails surprenants sur un individu. L'une d'elles, publiée en mars dans la revue Scientific Reports, a montré que l'on pouvait facilement identifier une personne en suivant ses déplacements à l'aide du GPS de son téléphone. Une autre étude réalisée par l'Université de Californie, et financée en partie par la National Science Foundation, a montré que les informations recueillies par les systèmes de détection de mouvement d'un téléphone, dont l'accéléromètre et le gyroscope, pouvaient être permettre d'identifier les frappes effectuées sur un écran tactile (voir document PDF) et par conséquent, à retrouver les mots de passe utilisés pour se connecter à des applications ou déverrouiller le téléphone.

M7, un chemin tout tracé pour les criminels et les agences de renseignements

Cela fait un certain temps que les smartphones sont équipés de capteurs, qui servent aussi bien à faciliter leur usage qu'à rendre les appareils plus ludiques. Samsung et Google/Motorola utilisent, l'un dans le Galaxy S4 et l'autre dans le Moto X, des technologies de suivi de mouvement similaires à celle d'Apple. En raison du risque potentiel d'avoir ces données stockées sur le téléphone, les entreprises doivent regarder de près les mesures de sécurité mises en oeuvre par chaque constructeur avant de permettre à leurs salariés d'utiliser leurs terminaux personnels pour accéder aux réseaux de l'entreprise. Parce qu'il n'y a pas de sécurité parfaite, celles-ci doivent évaluer les risques et les bénéfices découlant de l'usage d'un terminal privé dans le cadre professionnel. « En général facilité, divertissement et sécurité, ne vont pas très bien ensemble », a déclaré Andrew Hoog, CEO du vendeur de solutions de sécurité mobile viaForensics. « Si quelqu'un réussit à combiner ces trois caractéristiques, il va gagner beaucoup d'argent, car on est toujours dans une sorte de compromis », a-t-il ajouté.

« En soi, la puce M7 d'Apple n'a pas d'impact significatif sur la sécurité de l'iPhone », a estimé Dirk Sigurdson, directeur de l'ingénierie chez Rapid7. Voilà plusieurs années que les développeurs ont accès aux données des capteurs. « Mais la puce M7 va rendre la collecte de ces données beaucoup plus efficace dans le sens où les applications qui utilisent l'API CoreMotion tireront moins d'énergie de la batterie », a-t-il ajouté. Mais « si les données recueillies par les capteurs peuvent être utiles aux pirates, elles peuvent aussi contribuer à s'en défendre », a ajouté Andrew Hoog. Par exemple, les fournisseurs de solutions de sécurité pourraient utiliser ces informations pour établir un profil d'usage du terminal, et alerter l'opérateur s'ils détectent un comportement inhabituel. Quant aux entreprises, avant d'accepter un nouveau smartphone sur leur réseau, elles doivent vérifier que les nouvelles améliorations n'entament pas leur sécurité, et se demander « quel type de risque elles sont capables d'assumer avant d'autoriser ou non un nouveau terminal » a déclaré le CEO de viaForensics.