Apple et la sécurité

Mac Security iCloud iBrute

Tout a été dit ou presque sur le vol de données de célébrités Américaines sur leur compte iCloud : des attaques vraisemblablement ciblées sur lesdites célébrités, en récupérant leur mot de passe.

Suite à ces attaques, Apple a déclaré avoir durci la sécurité d’iCloud. D’une part en corrigeant la faille « iBrute », qui permettait de bruteforcer un mot de passe iCloud (en testant indéfiniment jusqu’à trouver le bon). Et, d’autre part, en alertant davantage l’utilisateur lorsque des sauvegardes sont récupérées depuis son compte, et en étendant l’usage de l’authentification à deux facteurs, par exemple avec un SMS de vérification.

Faille iCloud, ou comment évaluer le coût d’un vol de données ?

Au-delà de l’aspect « spectaculaire » du vol et de la polémique qui l’a accompagné, un certain nombre d’entreprises se posent aujourd’hui la question du coût réel d’un tel vol de données ou d’une cyberattaque.

Beaucoup d’études publient des chiffres alarmants, à coups de millions d’euros de « dégâts numériques ». En faisant l’exercice de recouper les sources, et d’essayer de trouver des données fiables, le constat est clair : les chiffres proviennent principalement d’acteurs ayant un intérêt économique (éditeurs de solutions de protection, fournisseurs de services de sécurité…),ils ne se basent pas sur des informations vérifiables, et ce sont les mêmes données qui sont réutilisés un peu partout dans la presse.

Sans lancer un débat de chiffres, il m’a paru intéressant d’observer un indicateur simple : le cours de bourse d’une entreprise ayant subi un vol de données rendu public. A ce titre, on peut regarder l’exemple d’Apple de plus près.

Apple et la sécurité - leaked photos

Il semblerait que suite à l’annonce du vol de données, la réaction du marché ait été finalement assez simple : Faille dans iCloud -> Mauvaise publicité pour Apple -> Méfiance des utilisateurs -> Moins de ventes de terminaux iOS -> Chiffre d’affaire moins bons que prévu… vous connaissez la suite.

Deux semaines plus tard, l’action d’Apple revient certes progressivement à son niveau d’avant faille : mais qu’adviendra-t-il si ce type d’attaque se produisait encore une fois, deux fois, trois fois… ?

Il est intéressant de constater que la question de la cybersécurité devient ici une question de confiance des investisseurs dans l’entreprise et sa capacité à protéger les données de ses clients. Apple, comme beaucoup de grands acteurs du numérique, a donc bien raison de prendre le sujet au sérieux… Car le marché, lui, ne s’y trompe plus !

Par ailleurs, avez-vous remarqué ce pic de l’action Apple, le 9 septembre ? Il s’agit évidemment de l’annonce du nouvel iPhone. C’est l’occasion de passer en revue quelques évolutions et questions en termes de sécurité.

OS 8, iPhone 6 : données de paiement et santé en entreprise ?

Du point de vue de la sécurité, la nouveauté la plus marquante d’iOS 8 est le grand pas vers le quantified self, à travers les services HealthKit and HomeKit. La concentration d’autant de données personnelles (et pas tout à fait banales en ce qui concerne HealthKit…) sur le même terminal pose évidemment la question de leur protection, et de l’usage qui en est fait par Apple
Tim Cook tente de rassurer (et en profite pour attaquer Google), en déclarant aujourd’hui : « Notre business ne se base pas sur le fait de collecter des données vous concernant. Vous n’êtes pas notre produit. ».

Dans la nouvelle mouture de l’OS, le partage de contenu va également être facilité : entre applications d’une part (avec les « App Extensions ») et entre terminaux Apple iOS et Mac OS d’autre part (avec la fonction Handoff). On peut aussi citer l’extension de la fonction TouchID (reconnaissance d’empreintes digitales), qui pourra dorénavant être utilisée par des applications tierces. En entreprise, comme chaque année, il faut se positionner quant à l’autorisation ou non de ces fonctions, lorsque cela est possible grâce aux fonctionnalités de MDM fournies par Apple.

L’autre élément de sécurité marquant concernant l’iPhone 6 est matériel. Le support du paiement par NFC, technologie d’échange sécurisé, était attendu depuis des années. Reste à voir si la robustesse du système sera éprouvée. Pour l’instant, Apple limite les risques en réservant le module NFC à Apple Pay, et ne pourra pas être utilisé par les développeurs (et donc les sociétés tierces) dans leurs applications.

Beaucoup de spécialistes du m-paiement pensaient depuis longtemps que le NFC ne décollerait dans le grand public que le jour où l’iPhone en serait équipé, alors même que ses concurrents le supportent depuis des années. La stratégie d’Apple, comme souvent, consiste en une intégration poussée d’une technologie fiable, mais surtout la construction d’un écosystème tout autour. C’est bien là que se situe la proposition de valeur d’Apple Pay, qui sera accepté dans beaucoup de grandes chaînes. Si celles-ci sont pour l’heure principalement américaines, nul doute que l’Europe et la France ne seront pas en reste. Rendez-vous dans un an pour vérifier cette prédiction !

Par Chadi Hantouche pour O1Net