Apple offrira une rcompense de 2 millions de dollars, le montant de rcompense le plus lev de l'industrie, aux hackers qui russiront contourner le mode Lockdown diOS 16. Ce dernier est un mode de dfense l'intention des personnes haut risque de cyberattaques (les dirigeants mondiaux, les clbrits, les lobbys, les journalistes, les activistes, etc.) qui leur permet de rester en communication tout en limitant le risque de se faire hacker. De ce fait, lappareil bloquera par exemple toutes les pices jointes et images des messages et en dsactivera laperu. Il en va de mme pour les albums partags dans Photos. En plus de bloquer les pices jointes des messages, lactivation du Lockdown Mode interdira les aperus de liens, les invitations et les appels Face Time dexpditeurs inconnus. Le mode dsactivera aussi certaines technologies de navigation Web par dfaut, et il fermera galement les connexions filaires aux ordinateurs ou autres accessoires.Apple a officiellement lanc une nouvelle fonctionnalit appele Lockdown mode (littralement Mode de verrouillage) lors de l'dition 2022 de la WWDC, sa confrence ddie aux dveloppeurs qui s'est tenue cette anne du 6 au 10 juin. Cette nouvelle fonctionnalit est fournie avec le systme iOS 16, iPadOS 16 et macOS Ventura et est spcialement conue pour contrer les cyberattaques.
L'objectif annonc est de contrer laugmentation massive des menaces des logiciels espions dvelopps par des entreprises prives, ou des groupes parfois parrains par des tats, comme Pegasus. Lutilisateur pourra alors activer lui-mme ce nouveau mode de verrouillage sil suspecte une cybermenace.
Le mode verrouillage est une capacit qui reflte notre engagement inbranlable protger les utilisateurs contre les attaques les plus rares et les plus sophistiques , a dclar Ivan Krstić, responsable de l'ingnierie et de l'architecture de scurit chez Apple. Alors que la grande majorit des utilisateurs ne seront jamais victimes de cyberattaques trs cibles, nous travaillerons sans relche pour protger le petit nombre d'utilisateurs qui le sont. Cela inclut de continuer concevoir des dfenses spcifiquement pour ces utilisateurs, ainsi que de soutenir les chercheurs et les organisations du monde entier qui effectuent un travail d'une importance cruciale pour exposer les entreprises mercenaires qui crent ces attaques numriques .
Le mode verrouillage offre un niveau de scurit extrme et facultatif pour les trs rares utilisateurs qui, en raison de qui ils sont ou de ce qu'ils font, peuvent tre personnellement cibls par certaines des menaces numriques les plus sophistiques, telles que celles du NSO Group et d'autres socits prives qui dveloppement des logiciels espions mercenaires parrains par l'tat. L'activation du mode verrouillage dans iOS 16, iPadOS 16 et macOS Ventura renforce encore les dfenses de l'appareil et limite strictement certaines fonctionnalits, rduisant considrablement la surface d'attaque qui pourrait potentiellement tre exploite par des logiciels espions mercenaires hautement cibls.
Un logiciel espion pour tlphones portables appel "Pegasus" a envahi plus de 50 pays travers le monde. Selon les rapports, le nombre de personnes surveilles par ce logiciel malveillant pourrait atteindre 50 000. Une fois que "Pegasus" est dploy sur un tlphone portable, il peut extraire des messages texte, des photos, des e-mails, enregistrer des appels et allumer distance le microphone et l'appareil photo du tlphone l'insu de l'utilisateur. Cela constitue une grande menace pour la vie prive des utilisateurs. Pegasus est dvelopp par la socit isralienne de surveillance logicielle NSO pour espionner les personnes les plus influentes telles que les journalistes, les avocats et les politiciens. NSO Group a t poursuivi par Apple et plac sur une liste noire commerciale par des responsables amricains.
L'histoire du meurtre de Jamal Khashoggi, chroniqueur de 59 ans pour le Washington Post, au consulat saoudien d'Istanbul en 2018 mrite d'tre rappele. Selon les analyses numriques amricaines, les agences de renseignement des mirats arabes unis ont install le logiciel espion Pegasus sur le tlphone de la fiance du journaliste des mois avant sa mort.
Au lancement, le mode verrouillage inclut les protections suivantes :
- Messages : la plupart des types de pices jointes aux messages autres que les images sont bloqus. Certaines fonctionnalits, telles que les aperus de liens, sont dsactives.
- Navigation Web : certaines technologies Web complexes, telles que la compilation JavaScript juste--temps (JIT), sont dsactives moins que l'utilisateur n'exclue un site de confiance du mode de verrouillage.
- Services Apple : les invitations entrantes et les demandes de service, y compris les appels FaceTime, sont bloques si l'utilisateur n'a pas dj envoy d'appel ou de demande l'initiateur.
- Les connexions filaires avec un ordinateur ou un accessoire sont bloques lorsque l'iPhone est verrouill.
- Les profils de configuration ne peuvent pas tre installs et l'appareil ne peut pas s'inscrire dans la gestion des appareils mobiles (MDM) lorsque le mode de verrouillage est activ.
La nouvelle fonctionnalit sera disponible pour des tests par les dveloppeurs cet t, avec une sortie officielle prvue pour l'automne.
La rcompense de 2 millions de dollars
Pour inviter les commentaires et la collaboration de la communaut des chercheurs en scurit, Apple a galement cr une nouvelle catgorie au sein du programme Apple Security Bounty pour rcompenser les chercheurs qui trouvent des contournements du mode de verrouillage et aident amliorer ses protections. Les primes sont doubles pour les dcouvertes ligibles en mode verrouillage, jusqu' un maximum de 2 000 000 $ - le paiement de prime maximum le plus lev de l'industrie.
Apple accorde galement une subvention de 10 millions de dollars, en plus des dommages-intrts accords dans le cadre du procs intent contre NSO Group, pour soutenir les organisations qui enqutent, exposent et prviennent les cyberattaques hautement cibles, y compris celles cres par des entreprises prives dveloppant des logiciels espions mercenaires parrains par l'tat. La subvention sera verse au Fonds Dignit et Justice cr et conseill par la Fondation Ford - une fondation prive ddie la promotion de l'quit dans le monde - et conue pour mettre en commun des ressources philanthropiques pour faire progresser la justice sociale dans le monde. Le Dignity and Justice Fund est un projet financ par le New Venture Fund, un organisme de bienfaisance public 501(c)(3).
Le commerce mondial des logiciels espions cible les dfenseurs des droits humains, les journalistes et les dissidents ; il facilite la violence, renforce l'autoritarisme et soutient la rpression politique , a dclar Lori McGlinchey, directrice du programme Technologie et socit de la Fondation Ford. La Fondation Ford est fire de soutenir cette initiative extraordinaire visant renforcer la recherche et le plaidoyer de la socit civile pour rsister aux logiciels espions mercenaires. Nous devons nous appuyer sur l'engagement d'Apple, et nous invitons les entreprises et les donateurs rejoindre le Fonds Dignit et Justice et apporter des ressources supplmentaires cette lutte collective .
Le Fonds Dignit et Justice prvoit d'accorder ses premires subventions la fin de 2022 ou au dbut de 2023, en finanant initialement des approches pour aider exposer les logiciels espions mercenaires et protger les cibles potentielles qui incluent :
- Renforcer les capacits organisationnelles et accrotre la coordination sur le terrain des groupes de recherche et de plaidoyer nouveaux et existants de la socit civile sur la cyberscurit.
- Soutenir le dveloppement de mthodes d'analyses numriques normalises pour dtecter et confirmer l'infiltration de logiciels espions qui rpondent aux normes de preuve.
- Permettre la socit civile de s'associer plus efficacement aux fabricants d'appareils, aux dveloppeurs de logiciels, aux entreprises de scurit commerciales et d'autres entreprises concernes pour identifier et traiter les vulnrabilits.
- Sensibiliser les investisseurs, les journalistes et les dcideurs politiques l'industrie mondiale des logiciels espions mercenaires.
- Renforcer la capacit des dfenseurs des droits humains identifier et rpondre aux attaques de logiciels espions, y compris des audits de scurit pour les organisations confrontes des menaces accrues sur leurs rseaux.
Il existe dsormais des preuves indniables issues des recherches du Citizen Lab et d'autres organisations que l'industrie de la surveillance mercenaire facilite la propagation des pratiques autoritaires et des violations massives des droits de l'homme dans le monde , a dclar Ron Deibert, directeur du Citizen Lab, un groupe de recherche l'Universit de Toronto. Je flicite Apple d'avoir cr cette subvention importante, qui enverra un message fort et aidera nourrir les chercheurs indpendants et les organisations de dfense des droits tenant les fournisseurs de logiciels espions mercenaires responsables des dommages qu'ils infligent des personnes innocentes .
Source : Apple
Et vous ?
Que pensez-vous des stratgies d'Apple en matire de cyberscurit ?
Son programme concernant les rcompenses du mode verrouillage gagnerait-il tre tendu sur les autres plateformes disposant de ce mode (iPadOS 16 et macOS Ventura) ou le choix d'iOS 16 vous semble beaucoup plus pertinent pour le moment ?
Pour ou contre l'existence de socits comme NSO Group qui proposent aux forces de l'ordre l'accs aux tlphones de leurs cibles ? Pourquoi ?
