Parmi les milliers de documents de la CIA publiés par Wikileaks, certains expliquent comment l’agence américaine a utilisé des failles zero-day dans les systèmes d’exploitation et transformé des appareils connectés en outils d’espionnage. Des révélations qui n’ont pas manqué de faire réagir les firmes high-tech évoquées dans ces documents.
C’est Apple qui a fourni la réponse la plus détaillée. L’entreprise de Cupertino a tout de suite voulu rassurer ses clients en indiquant que “la plupart” des failles de sécurité d’iOS évoquées dans les documents de la CIA avaient déjà été patchées et qu’elle continuera à corriger les vulnérabilités identifiées. Il est cependant intéressant de constater qu’Apple n’indique pas que “toutes” les failles avaient été corrigées. Prévoyez quelques mises à jour de sécurité sur votre iPhone ou iPad très bientôt !
Des investigations pour en savoir plus
Dans un communiqué envoyé à TechCrunch, Apple a en tout cas rappelé son « profond engagement » dans la protection des données de ses clients et dans leur sécurité. « La technologie intégrée aux iPhone d’aujourd’hui offre la meilleure sécurité pour les données de nos utilisateurs et nous travaillons constamment pour que cela soit toujours ainsi. Nos produits et logiciels sont conçus pour délivrer rapidement des mises à jour de sécurité à nos clients, grâce notamment à l’utilisation de la dernière version de notre système d’exploitation. »
Google aussi se veut rassurant. « Après avoir examiné les documents, a indiqué Heather Adkins, directrice de la sécurité des informations et de la vie privée au sein de la firme de Moutain View, au site Recode, nous sommes persuadés que les mises à jour et les outils en place dans Chrome et Android protègent déjà nos utilisateurs contre nombre de ces prétendues vulnérabilités. » Elle a ajouté que Google allait mener d’autres investigations et mettra en place de nouvelles protections si nécessaire. « Nous avons toujours fait de la sécurité une priorité et allons continuer. »
Samsung, dont les télés connectées ont été spécifiquement évoquées, est un peu plus bref, rapporte le New York Times, et indique que « la protection de la vie privée des consommateurs et la sécurité de nos appareils sont nos priorités. Nous avons pris connaissance de ces documents et nous penchons immédiatement sur ce sujet. »
Même son de cloche chez Microsoft, dont le système d’exploitation (Windows) est aussi largement cité dans les documents.
Non, la CIA n’a pas hacké les applis chiffrées
De leur côté, les équipes de Telegram expliquent que les utilisateurs de leur appli ne doivent pas se sentir concernés par cette affaire. Si la CIA est capable de récupérer des messages avant qu’ils ne soient chiffrés, ce n’est en aucun cas la faute de l’appli, mais celle des appareils et systèmes d’exploitation : ce sont eux qui sont corrompus, et c’est à leurs éditeurs de publier de mises à jour de sécurité pour atténuer ces menaces. « Citer une appli dans ce contexte est une erreur. » Et Telegram d’ajouter quelques conseils de base pour accroître la sécurité des utilisateurs : ne pas se servir d’un appareil jailbreaké « à moins d’être sûr à 400% de ce que vous faites », ne pas installer d’applis provenant d’une source inconnue, garder son appareil à jour…
Même chose chez Signal où l’on explique que le chiffrement de l’appli n’est en aucun cas compromis, mais que la CIA peut en revanche hacker un smartphone sur lequel elle est installée. Les révélations de Wikileaks confirment que « ce que nous faisons est utile, a indiqué Moxie Marlinspike, créateur de Signal au New York Magazine. Le chiffrement de bout en bout a poussé les agences gouvernementales vers de nouvelles formes d’attaques plus ciblées et risquées. Et à chaque fois qu’elles les lancent, elles risquent d’être détectées et que cela leur coûte des millions de dollars. »
Une réforme ?
Une voix un peu différente s’est aussi fait entendre dans ce lot de réactions. Celle de Denelle Dixon, responsable juridique et commerciale au sein de Mozilla, dont le navigateur a également été mis en cause dans Vault 7. « La CIA et Wikileaks sapent la sécurité d’Internet, a-t-elle ainsi déclaré. La première stocke les failles et le second se sert de cette mine d’informations pour créer un choc plutôt que pour informer les entreprises concernées afin qu’elles puissent faire le nécessaire. »
La responsable espère que ces révélations, aussi perturbantes soient-elles, permettront une prise de conscience de l’ampleur des enjeux de sécurité et appelle à « une collaboration pour réformer le monde du renseignement ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.