Google et Apple apportent régulièrement des modifications à Android et à iOS pour améliorer l'intégrité du matériel exécutant ces systèmes d'exploitation. Objectif : réduire la probabilité qu'un tiers non autorisé puisse accéder aux données stockées sur ces systèmes. Si jusqu'à présent ces évolutions n'avaient pas vraiment empêché criminels, entreprises et gouvernements de trouver des moyens pour contourner ces moyens de protections, les géants du mobile reprennent la main. Ainsi, Apple et Google utilisent désormais tous deux des composants sécurisés dans leurs appareils pour stocker les données critiques de façon à empêcher leur extraction et décourager toute violation d'intégrité physique. Pour Apple, cela concerne tous les appareils iOS modernes. Chez Google, seuls les modèles Pixel 2 sont pour l'instant éligibles, mais Android P va permettre à d'autres fabricants de protéger des terminaux tournant sur l'OS mobile de Google. Comment fonctionnent ces composants sécurisés ? Ils stockent des éléments tels que numéros de cartes de crédit et caractéristiques des empreintes digitales utilisées pour valider l'accès. Apple appelle son module Secure Enclave. Chez Google, aucun petit nom n'a été retenu.

Avec le Pixel 2, Google a récemment ajouté une mesure visant à protéger les utilisateurs contre une menace importante pouvant entraîner le vol de données chiffrées critiques qu'il conserve par un mécanisme de sécurité extrêmement pointu. La firme de Mountain View, à l'instar d'Apple et d'autres fabricants de systèmes d'exploitation et de matériel, possède des clés de signature chiffrée utilisées pour fournir une couche de validation autour des mises à jour de logiciels et de microprogrammes pour ses périphériques. Il n'y a donc maintenant plus aucun moyen efficace de forger une signature valide sans la possession de ces clés. Si quelqu'un obtenait les clés, une entité non autorisée pourrait alors créer des logiciels et des micrologiciels qu'un autre appareil accepterait comme valides. Avec pour conséquence de permettre au périphérique en question d'envoyer des données à des tiers non autorisés ou à les laisser accéder à des informations stockées qui ne seraient pas autrement disponibles. Compte-tenu de ces évolutions, un scénario de contournement de signatures tel que celui élaboré par le FBI dans le cadre de l'enquête du massacre de San Bernadino en 2015, où l'agence avait exigé qu'Apple crée une version spéciale d'iOS installée dans un iPhone verrouillé par les tueurs, ne serait plus envisageable. 

Plus de zone grise au blocage des ports USB

Dans un billet Google a prévenu que les quelques employés qui ont la capacité d'accéder aux clés de signature pourraient être « visés par attaques par coercition ou ingénierie sociale. ». Le post ne mentionne pas une éventuelle implication du gouvernement. Obtenir ces clés de signature est devenu beaucoup plus critique que de pouvoir accéder ou déverrouiller tel ou tel terminal, car cela expose potentiellement tous les utilisateurs d'Android. Avec le Pixel 2, le module de sécurité matérielle sur lequel le téléphone s'appuie pour valider le mot de passe d'un utilisateur ne peut être mis à jour sans avoir entré correctement le mot de passe de l'utilisateur, et ce même si la dernière version du firmware de l'appareil est signée. Du côté d'Apple, la société a poussé une fonctionnalité qui empêcherait l'utilisation de dispositifs de craquage de téléphone USB, comme le GrayKey. Comme indiqué précédemment, la société Grayshift met cet appareil à la disposition des organismes d'application de la loi autorisés, sans mandat, pour craquer les iPhone avec des NIP relativement courts. Il repose sur une approche inconnue qui contourne le verrouillage typique d'Apple pour les tentatives de mot de passe excessives.

Motherboard signale de son côté qu'à partir de iOS 11.3 beta, Apple a inclus une option dans les paramètres Touch ID / Face ID & Passcode appelés Mode restreint USB. L'option, lorsqu'elle est activée, permet de déverrouiller un téléphone quand il est branché sur un périphérique USB via le port Lightning après un long délai. D'une semaine dans les versions précédentes, ce dernier a été réduit à une heure au plus. Une telle fonctionnalité permet par exemple de rendre plus difficile l'utilisation d'un dispositif de crack-PIN qui n'aurait ainsi plus accès au mobile par le port Lightning au bout d'une heure. Will Strafach, CEO de Sudo Security Group, et qui a jadis développé les jailbreaks pour iPhone, estime que ce changement « a du mérite ». Il note que ce type de restriction atténue un certain nombre de menaces, notamment celles qui ciblent les développeurs. « Un service système vulnérable ne serait accessible à aucun adversaire ayant un accès physique à l'appareil », a expliqué Will Strafach.

Protéger la plupart des utilisateurs avec des mesures d'intégrité

Il est plausible que Google et Apple s'empruntent mutuellement des fonctionnalités, et ajoutent ces options à leurs propres systèmes d'exploitation au fil du temps. Le chemin de Google vers l'intégration d'un module de sécurité matérielle semble plus long que prévu, mais l'écosystème Android veille au grain pour lui faciliter la tâche. Ces mesures peuvent sembler conçues pour contrecarrer les gouvernements - aussi bien des agents agissant avec une cause légitime adhérant à une constitution nationale que d'autres. Avec plus de trois milliards d'appareils actifs dans le monde sur Android et iOS, il y a cependant encore beaucoup de travail pour corriger tous les trous de sécurité qui pourraient affecter à grande échelle les utilisateurs.