Piquée au vif par les analyses de Google Project Zero, la firme de Cupertino minimise d’une manière assez maladroite les attaques sur la population ouïghoure. Une guerre de communication finalement pas très utile.
Ce n’est pas une réaction à chaud, mais un message distillé lentement, à froid. Apple vient de publier une mise au point sur une révélation faite par Google il y a un peu plus d’une semaine. Le chercheur en sécurité Ian Beer de l’équipe Project Zero avait en effet détaillé une campagne de cybersurveillance très sophistiquée, mise en œuvre au travers d’une poignée de sites web piégés et ciblant des « milliers » d’utilisateurs iPhone « chaque semaine ». Quelques jours plus tard, des médias américains ont révélé que cette campagne visait en fait des personnes de la communauté ouïghoure de la région du Xinjiang, une population persécutée depuis des années par les autorités chinoises.
Apple réfute certains éléments fournis par Google…
Dans son communiqué, Apple confirme que cette campagne avait bien la communauté ouïghoure en ligne de mire, mais que l’attaque était « très focalisée », et non « en masse », comme l’aurait suggéré son concurrent. « L’attaque a affecté moins d’une douzaine de sites web », souligne Apple, qui estime que Google a tenté de faire croire à tous les utilisateurs d’iPhone que leur appareil avait été piraté.
Par ailleurs, Apple explique que ces attaques n’ont été opérationnelles que pendant « environ deux mois ». On serait donc très loin d’une période de deux ans dont parle Google dans sa note de blog. Enfin, Apple précise avoir été au courant de ces failles de sécurité avant même d’avoir été alerté par Google. « Quand Google nous a contactés, nous étions déjà en train de corriger les failles exploitées », peut-on lire dans le communiqué.
… sans prendre position sur la campagne elle-même
Dans la communauté des experts en sécurité informatique, le communiqué d’Apple passe assez mal. Beaucoup d’entre eux estiment qu’Apple ne s’attache qu’à des aspects secondaires, comme la taille et la durée de la campagne, sans perdre un mot sur le véritable scandale : la cybersurveillance d’une communauté ethnique par des services étatiques sans vergogne. « Ce qui me dérange le plus chez Apple ces jours-ci, c’est qu’ils sont omniprésents sur le marché chinois et, en tant que tels, refusent de dire quelque chose du genre: ‘Un gouvernement déterminé à nettoyer de manière ethnique une population minoritaire a mené une attaque de masse contre nos utilisateurs’ », estime Nicholas Weaver, chercheur à l’université de Berkeley.
Même son de cloche chez Alex Stamos. Le professeur à Stanford, et ancien responsable sécurité de Facebook, a rédigé une version « corrigée » du communiqué, qui épingle le régime chinois comme Apple aurait dû le faire.
D’autres encore, comme The Verge, estiment qu’Apple fait de la communication de bas niveau, en essayant de minimiser l’attaque par tous les moyens, quitte à employer de la mauvaise foi. Apple, par exemple, affirme que les sites piégés n’étaient opérationnels que pendant deux mois « et non deux ans comme le suggère Google ». Mais Google, en réalité, ne le suggère pas. Le géant du web explique que les auteurs de ces attaques, au regard des failles qu’ils ont utilisées, ont cherché à pirater les iPhone depuis au moins deux ans. On parle donc de quelque chose de totalement différent.
L’attitude de Google n’est pas très claire non plus
Mais on peut aussi comprendre qu’Apple soit piqué au vif. Au détour de sa note de blog, Ian Beer tire à boulets rouges sur le code informatique produit par Apple. Il estime que certaines failles d’iOS auraient dû être détectées par le contrôle qualité, suggérant une grave défaillance chez Apple. Cette critique a dû susciter un certain énervement à Cupertino.
Par ailleurs, on peut également se demander pourquoi Google ne parle que des attaques sur iPhone. Selon Forbes, la campagne de cybersurveillance aurait également ciblé les smartphones Android et Windows Phone, ce qui paraît assez logique. Les chercheurs en sécurité de Volexity ont d’ailleurs révélé, début septembre, l’existence de onze sites piégés ciblant les smartphones Android d’utilisateurs ouïghours. Certains éléments laissent penser qu’ils étaient liés à la campagne révélée par Google. Pourquoi Project Zero ne donne-t-il aucune information sur ces attaques ? Faire une étude approfondie d’une série d’attaques sur iPhone dans le cadre d’une campagne qui a ciblé probablement bien plus de smartphones Android donne vraiment l’impression d’un parti pris.
Source : 01net