Apple a annoncé mercredi une série de mesures de sécurité, notamment un paramètre de protection avancée des données qui permet des sauvegardes de données cryptées de bout en bout (E2EE) dans son service iCloud.
La fonction de titre, lorsqu’elle est activée, devrait sécuriser 23 catégories de données à l’aide d’E2EE, y compris les sauvegardes d’appareils et de messages, iCloud Drive, Notes, Photos, Rappels, Mémos vocaux, Safari Bookmarks, Siri Shortcuts et Wallet Passes.
Le fabricant d’iPhone a déclaré que les seules grandes catégories de données iCloud qui ne sont toujours pas protégées par E2EE sont le courrier, les contacts et le calendrier en raison de la « nécessité d’interagir avec les systèmes mondiaux de messagerie, de contacts et de calendrier » qui utilisent des technologies héritées.
Les protections E2EE d’Advanced Data Protection pour iCloud signifient également que les données personnelles des utilisateurs ne peuvent être déchiffrées que sur leurs appareils de confiance, qui conservent les clés de chiffrement.
« Si vous activez la protection avancée des données, puis perdez l’accès à votre compte, Apple n’aura pas les clés de cryptage pour vous aider à le récupérer – vous devrez utiliser le code d’accès ou le mot de passe de votre appareil, un contact de récupération ou une clé de récupération personnelle, », explique Apple dans un document d’assistance.
Avec la dernière décision, Apple a adressé une critique de longue date selon laquelle il détient les clés de cryptage des sauvegardes iCloud, rendant ainsi les informations vulnérables aux violations de données, aux demandes des forces de l’ordre et même aux propres employés d’Apple.
L’utilisation du cryptage pour protéger les données des utilisateurs a été inexorablement liée à un défi appelé « sombre », dans lequel les agences gouvernementales sont entravées dans leur capacité à rassembler des preuves numériques incriminantes contre des crimes graves et d’autres enquêtes criminelles.
Parallèlement à l’annonce d’un cryptage de bout en bout étendu, Cupertino a confirmé qu’il avait abandonné ses projets controversés de numérisation des messages à la recherche de matériel d’abus sexuel d’enfants (CSAM) stockés dans iCloud Photos, selon les rapports du Wall Street Journal et de WIRED.
« Les abus sexuels sur les enfants peuvent être évités avant qu’ils ne se produisent », a déclaré Craig Federighi, vice-président senior de l’ingénierie logicielle d’Apple. « C’est là que nous mettons notre énergie pour aller de l’avant. »
Dans une mise à niveau connexe sur le thème de la sécurité, Apple étend également l’authentification à deux facteurs pour l’identifiant Apple avec la prise en charge des clés de sécurité matérielles et lance une nouvelle fonctionnalité de sécurité iMessage appelée Contact Key Verification pour s’assurer qu ‘ »ils ne communiquent qu’avec les personnes qu’ils ont l’intention . »
La fonctionnalité, principalement destinée aux journalistes, aux militants des droits de l’homme et aux membres du gouvernement, est conçue de telle sorte que des alertes automatiques soient envoyées si un adversaire d’un État-nation réussit à violer son infrastructure cloud et ajoute un appareil Apple escroc pour écouter les communications cryptées.
« Et pour une sécurité encore plus élevée, les utilisateurs d’iMessage Contact Key Verification peuvent comparer un code de vérification de contact en personne, sur FaceTime ou via un autre appel sécurisé », a déclaré le géant de la technologie, reflétant une fonctionnalité similaire offerte par Signal.
Il convient toutefois de noter à ce stade qu’iMessage est une plate-forme de messagerie instantanée exclusive à l’écosystème Apple et n’est pas compatible avec d’autres systèmes d’exploitation majeurs comme Android et Windows.
Ces barrières de verrouillage signifient également que les nouvelles protections de sécurité cessent de s’appliquer lors de la communication avec les utilisateurs de smartphones Android, auquel cas l’application Messages d’Apple fournit le contenu du chat sous la forme de messages SMS réguliers et non cryptés.
Apple, pour sa part, a rejeté l’idée de mettre à niveau les SMS/MMS vers RCS, une norme de messagerie améliorée avec E2EE, un partage multimédia de haute qualité, des accusés de lecture et des indicateurs de frappe.
Les fonctionnalités de sécurité arrivent près de trois mois après qu’Apple a annoncé une autre fonctionnalité optionnelle appelée Lockdown Mode, conçue pour protéger les iPhones et ses autres produits contre les intrusions de pirates informatiques et de logiciels espions commerciaux.
La protection avancée des données pour iCloud devrait être disponible pour les utilisateurs américains d’ici la fin de l’année avec iOS 16.2, iPadOS 16.2 et macOS 13.1. La fonctionnalité devrait être déployée dans le monde entier en 2023, aux côtés des clés de sécurité pour l’identifiant Apple et de la vérification des clés de contact iMessage.
La prochaine mise à jour iOS 16.2 est également configurée pour appliquer une limitation AirDrop qui a été initialement introduite en Chine avec iOS 16.1.1, restreignant les transferts sans fil à partir de non-contacts à proximité pendant une période de 10 minutes seulement dans le but de réduire le spam.