Le jardin clos d’Apple présente des failles de sécurité, et vos données sont en danger.

Un écosystème en question

Apple a bâti son empire sur une promesse : votre iPhone est en sécurité. Le célèbre jardin clos de l’entreprise – avec un matériel, des logiciels et une sélection de l’App Store étroitement contrôlés – est censé être l’envie du monde numérique. C’est pourquoi les utilisateurs d’Apple dorment un peu plus facilement, pourquoi les régulateurs donnent à l’entreprise plus de marge de manœuvre et pourquoi Apple peut prétendre de manière crédible « penser différemment ».

Mais que se passe-t-il si ce jardin clos a des trous ? Une nouvelle recherche menée par l’équipe de Vincentas Baubonis, responsable de la recherche en cybersécurité chez Cybernews, révèle une faille de sécurité massive au cœur de l’App Store d’Apple. Plus de 110 000 applications iOS – environ 7 sur 10 analysées – divulguent des « secrets codés en dur », notamment des clés API, des jetons d’authentification et des identifiants de stockage dans le cloud. Beaucoup de ces secrets débloquent l’accès à des données sensibles des utilisateurs. Certains pourraient autoriser la prise de contrôle complète des comptes. D’autres, comme celles trouvées dans des applications de rencontres fétichistes, ont exposé des photos privées envoyées en toute confidentialité.

Des secrets cachés à la vue de tous

Soyons clairs sur ce que nous avons trouvé. Les chercheurs ont téléchargé 156 000 applications iOS, soit environ 8 % de l’App Store. Ils ont utilisé l’analyse automatisée et la rétro-ingénierie – les mêmes techniques que celles utilisées par les attaquants – pour rechercher des secrets intégrés directement dans le code de l’application. Le genre de secrets que les développeurs ne devraient jamais y stocker.

Parmi les plus de 816 000 secrets exposés, nous avons découvert :

– 94 240 compartiments de stockage codés en dur, dont 836 (0,89 %) sans authentification. Ces instances ouvertes ont exposé plus de 76 milliards de fichiers, laissant échapper 406 To de données.
– 51 098 URL Firebase, dont 2 218 (4,34 %) n’étaient pas authentifiées. Ces instances ouvertes ont exposé 19,8 millions d’enregistrements, laissant échapper 33 Go de données, y compris des jetons de session utilisateur et des analyses backend. Presque toutes ces instances sont hébergées aux États-Unis.
– 8 439 clés API Fabric ont été exposées. Fabric, un système de gestion des commandes, utilise ces clés pour gérer, suivre et exécuter les commandes.
– 3 343 touches Branch en direct exposées. Branch.io est une plateforme marketing utilisée pour suivre les campagnes et permettre des liens profonds avancés.

Dans le cas de cinq applications de rencontres de niche – s’adressant aux utilisateurs LGBTQ+ et aux communautés perverses – les fuites étaient particulièrement troublantes. Comme leurs développeurs ont intégré les identifiants Google Cloud dans le code de leur application iOS, nous avons trouvé 1,5 million d’images d’utilisateurs privées dans des compartiments cloud non protégés : photos intimes, selfies de vérification d’identité, et même des images signalées pour non-respect des règles de la plateforme. Tous accessibles au public.

Le mythe de l’App Store sécurisé

Les défenseurs d’Apple pourraient pointer du doigt ses directives d’examen de l’App Store. Elles sont robustes – du moins sur le papier – et couvrent la sécurité, les performances et la conformité légale. Mais nulle part elles ne mentionnent la recherche de secrets codés en dur. Si Apple vérifie ces points faibles dans les coulisses, nos résultats suggèrent qu’il fait un très mauvais travail. En revanche, les grandes entreprises technologiques comme GitHub, Google et AWS disposent toutes de systèmes de détection automatisés pour détecter les secrets exposés dans le code. Apple, avec sa valorisation de mille milliards de dollars, pourrait facilement mettre en œuvre la même chose – mais ne l’a pas fait.

Pourquoi pas ? L’une des raisons peut être la vitesse. Le pipeline d’approbation des applications d’Apple est énorme, et le ralentir pour ajouter une analyse de sécurité approfondie pourrait réduire les revenus de l’App Store, en particulier des applications gratuites fonctionnant sur des modèles basés sur la publicité. Mais une autre raison peut être philosophique. Apple préfère se positionner comme une entreprise de matériel informatique avec la confidentialité intégrée. Ce qui se passe à l’intérieur des applications, sous-entend-il, est de la responsabilité des développeurs. Cette distinction aurait pu fonctionner en 2010. Elle ne tient pas la route aujourd’hui.

Le coût réel de la commodité

La plupart des développeurs ne sont pas malveillants. Ils sont juste sous pression. Le codage en dur des secrets est plus rapide que la création de flux d’authentification sécurisés. La mise à jour d’une application pour corriger un secret divulgué peut être risquée et prendre du temps. De nombreux développeurs espèrent simplement que personne ne le remarque. Mais les attaquants le remarquent. En 2016, Uber a été piraté parce que des pirates ont trouvé des informations d’identification AWS codées en dur. En 2022, Toyota a laissé les clés GitHub exposées pendant cinq ans. Il ne s’agissait pas d’opérations amateurs, mais d’échecs de grandes entreprises. Si ces erreurs peuvent se produire chez Uber et Toyota, imaginez les risques parmi des centaines de milliers d’applications créées par de petites entreprises ou des développeurs indépendants. À l’époque où 78 % des personnes utilisent des appareils mobiles pour des tâches financières et de santé sensibles, et où 71 % des employés utilisent un téléphone pour le travail, les enjeux ne pourraient pas être plus élevés. Une clé API compromise peut permettre à un acteur malveillant de lire vos antécédents médicaux, de détourner votre portefeuille de cryptomonnaies ou de se faire passer pour vous dans une attaque de phishing.

Apple a le pouvoir. Il devrait l’utiliser

Apple se présente souvent comme le champion de la protection de la vie privée dans un monde numérique dangereux. Il commercialise le cryptage, la transparence du suivi des applications et le traitement sur l’appareil. Il contraste fortement avec Android, où la collecte de données et les failles de sécurité sont discutées plus ouvertement.

Mais la sécurité ne s’arrête pas à l’écran de verrouillage. Et malgré toutes ses prouesses techniques, Apple n’a toujours pas mis en place les mesures de protection nécessaires pour empêcher les applications non sécurisées de divulguer les données des utilisateurs, ou même la dignité de l’utilisateur.

Les outils pour résoudre ce problème sont facilement disponibles :

– Les outils d’analyse statique peuvent détecter automatiquement les secrets codés en dur.
– Une exigence d’analyse des informations d’identification pourrait être ajoutée à l’examen de l’App Store.
– Apple pourrait révoquer des secrets vulnérables en coordination avec les développeurs.

Ce ne sont pas des mesures radicales. Ce sont des pratiques courantes dans des entreprises beaucoup plus petites qu’Apple.

Un appel à la responsabilisation

Nous ne devrions pas confondre le marketing astucieux avec la sécurité. Et nous ne devrions pas laisser Apple s’en tirer simplement parce que l’alternative pourrait être pire. Le contrôle étroit d’Apple sur son écosystème lui confère un pouvoir énorme, mais cela s’accompagne de responsabilités. Apple décide déjà quelles applications peuvent s’exécuter sur ses appareils, comment les paiements sont traités et quelles API sont accessibles. Il doit également s’assurer que les applications qu’il approuve n’exposent pas imprudemment les données privées des utilisateurs à Internet. D’ici là, le jardin clos peut sembler immaculé, mais il est plein de mauvaises herbes.

À propos de l’auteur

Vincentas Baubonis est un expert en développement de logiciels complets et en sécurité des applications Web, avec un accent particulier sur l’identification et l’atténuation des vulnérabilités critiques dans l’IoT, le piratage matériel et les tests d’intrusion organisationnels. En tant que responsable de la recherche sur la sécurité chez Cybernews, il dirige une équipe qui a découvert d’importants problèmes de confidentialité et de sécurité affectant des organisations et des plateformes de premier plan telles que la NASA, Google Play et PayPal. Sous sa direction, l’équipe de Cybernews mène plus de 7 000 recherches par an, publiant plus de 600 études chaque année qui fournissent aux consommateurs et aux entreprises des informations exploitables sur les risques de sécurité des données.

Recherches précédentes de Cybernews :

1. Les chercheurs de Cybernews ont analysé 156 080 applications iOS sélectionnées au hasard – environ 8 % des applications présentes sur l’App Store – et ont découvert un énorme oubli : 71 % d’entre elles exposent des données sensibles.
2. Récemment, Bob Dyachenko, chercheur en cybersécurité et propriétaire de SecurityDiscovery.com, et l’équipe de recherche sur la sécurité de Cybernews ont découvert un index Elasticsearch non protégé, qui contenait un large éventail de détails personnels sensibles liés à l’ensemble de la population de Géorgie.
3. L’équipe a analysé le trafic Web du nouveau smartphone Pixel 9 Pro XL et a constaté que le dernier smartphone phare de Google transmet fréquemment des données privées d’utilisateurs au géant de la technologie avant l’installation d’une application.
4. L’équipe a révélé qu’une fuite massive de données chez MC2 Data, une société de vérification des antécédents, affecte un tiers de la population américaine.
5. L’équipe de recherche en sécurité de Cybernews a découvert que les 50 applications Android les plus populaires nécessitent en moyenne 11 autorisations dangereuses.
6. Ils ont révélé que deux créateurs de PDF en ligne ont divulgué des dizaines de milliers de documents d’utilisateurs, notamment des passeports, des permis de conduire, des certificats et d’autres informations personnelles téléchargées par les utilisateurs.
7. Une analyse de Cybernews Research a découvert plus d’un million de secrets publiquement exposés à partir de plus de 58 000 fichiers d’environnement exposé (.env) de sites Web.
8. L’équipe a révélé que l’instance dirigeante du football australien, Football Australia, a divulgué des clés secrètes qui pourraient ouvrir l’accès à 127 ensembles de données, y compris les données personnelles des acheteurs de billets et les contrats et documents des joueurs.
9. L’équipe de recherche de Cybernews, en collaboration avec le chercheur en cybersécurité Bob Dyachenko, a découvert une fuite de données massive contenant des informations provenant de nombreuses violations passées, comprenant 12 téraoctets de données et couvrant plus de 26 milliards d’enregistrements.
10. L’équipe a analysé le site Web de la NASA et a découvert une vulnérabilité de redirection ouverte qui sévit sur le site Web d’astrobiologie de la NASA.
11. L’équipe a enquêté sur 30 000 applications Android et a découvert que plus de la moitié d’entre elles divulguent des secrets qui pourraient avoir d’énormes répercussions sur les développeurs d’applications et leurs clients.