Apple ou le mythe de l’écosystème inviolable

L'écosystème Apple est-il vraiment imperméable aux cyberattaques ? | Stormshield

Avec son écosystème verrouillé et sa communication savamment orchestrée, Apple peaufine son image de citadelle inattaquable. Mais en matière de cybersécurité, personne n’est invulnérable.

What happens in your iPhone stays in your iPhone”. Sur un gigantesques panneau noir déployé sur 13 étages, voici le message en lettres blanches qu’ont pu lire les visiteurs du CES cette année. Une grande opération de communication d’Apple pour promouvoir son écosystème et se poser en ardent défenseur de la privacy. Las, à peine trois semaines plus tard, l’entreprise a dû reconnaître une importante faille de sécurité sur FaceTime permettant d’écouter des utilisateurs d’iPhone à leur insu. Dans la foulée, MacOSX a été infecté par le malware CookieMiner, une attaque permettant de pirater et de voler les cryptomonnaies détenues par les victimes. Et après la découverte d’une vulnérabilité Zero Day sur la nouvelle version de macOS, Mojave, le début d’année 2019 confirme à lui seul qu’en matière de sécurité, personne n’est invulnérable. Pas même la marque à la pomme.

Le mythe de l’inviolabilité d’Apple

Pourtant, Apple a longtemps été perçu comme un système inviolable. Un mythe qui s’explique par trois grandes raisons, selon David Gueluy, Innovation leader chez Stormshield. « Historiquement, Apple a d’abord été épargné par les attaques parce qu’il comptait moins d’utilisateurs que Microsoft ; il n’était donc pas une cible de choix. Ensuite, l’écosystème fermé d’Apple donne une illusion de maîtrise et d’imperméabilité aux attaques. Enfin, la protection de la vie privée est devenu un argument commercial d’Apple, qui communique beaucoup dessus et renforce ainsi dans les esprits une association entre Apple et la notion de sécurité. »

Mais depuis plusieurs années, Apple est devenu une cible récurrente des attaques. Les succès de l’iPhone et du MacBook ont dopé le nombre d’utilisateurs de l’écosystème Apple, et leur profil – plutôt CSP + et VIP – aiguise les appétits. « La motivation des cyberattaques est souvent pécuniaire », rappelle David Gueluy. Résultat : les vulnérabilités découvertes sur les produits d'Apple se multiplient, parfois avec un fort écho médiatique, comme le piratage d’iCloud en 2014, où plusieurs stars hollywoodiennes avaient vu leurs données compromises et leur intimité exposée. « Le cas d’iCloud est emblématique car il rappelle que la sécurité est un problème global : on a tendance à beaucoup penser matériel (smartphone, tablette, ordinateur), or tous les services et outils utilisés apportent des risques supplémentaires », note David Gueluy.

La sécurité est un problème global : on a tendance à beaucoup penser matériel (smartphone, tablette, ordinateur), or tous les services et outils utilisés apportent des risques supplémentaires

David Gueluy, Innovation leader Stormshield

L’App Store, nid d’espions

De quoi faire dire à certains que l’utilisateur Mac n’est pas plus protégé qu’un utilisateur Windows. Un coup d’œil au National Vulnerability Database suffit pour constater que l’écosystème Apple connaît lui aussi son lot de CVE (Common Vulnerabilities and Exposures).

Désormais, un tiers des attaques ciblent les mobiles. Si Android reste l’OS le plus visé, iOS est également vulnérable. Avant l’arrivée du malware CookieMiner en 2019, citons pêle-mêle le malware XCodeGhost (qui aurait infecté plus de 4000 applications de l’App Store selon FireEye), le spyware Pegasus, le cheval de Troie Acedeceiver ou encore le ransomware KeRanger.

L’utilisateur Apple, premier facteur de vulnérabilité

« Les écosystèmes sont de plus en plus robustes. Aujourd’hui, le point d’entrée le plus vulnérable, c’est l’utilisateur », souligne un chercheur en sécurité chez Stormshield. Il existe pourtant des bonnes pratiques simples que chacun peut mettre en œuvre pour limiter les risques. « Comme tous les éditeurs, Apple a des équipes dédiées qui travaillent à la résolution des vulnérabilités. La pratique de cybersécurité numéro une est donc de se mettre régulièrement à jour », rappelle-t-il.

Ne pas télécharger de pièce-jointe suspecte, opter pour une authentification à deux facteurs ou encore définir un mot de passe fort et en changer régulièrement sont également des réflexes basiques à avoir. Et, bien sûr, n’installer que des applications dont on connaît la source. « Il faut soit la télécharger de l’App Store, soit aller la chercher sur le site officiel de l’éditeur », note encore ce spécialiste en cybersécurité. Pour éviter de se retrouver avec une application malveillante, on contrôle l’identité de l’éditeur, pour voir s’il s’agit bien du même que celui d’autres applications dans le store, on regarde les commentaires et surtout… son prix. Si l’application est beaucoup moins chère que le prix attendu, c’est suspect. « Il s’agit des mêmes règles de vigilance que pour le phishing, résume Julien Paffumi, Product Marketing Manager chez Stormshield. Si c’est trop beau pour être vrai, c’est très certainement un piège ! »

Et le phénomène ne concerne plus seulement les usages personnels. Avec une puissance accrue, de nouvelles fonctionnalités et des campagnes marketing efficaces, les différents produits Apple trouvent leur place dans les entreprises. Pour ces entreprises, des solutions plus poussées permettent de se protéger sur plusieurs niveaux :

  • Un firewall (ou pare-feu) protège le trafic réseau en filtrant les flux pour repérer les sites et contenus dangereux. C’est ce que propose la solution Stormshield Network Security. Ce système est particulièrement recommandé pour mettre en place une connexion sécurisée.
  • Des solutions de chiffrement pour protéger les données sur MacBook et autres iPhones. Négligence, malveillance ou espionnage industriel, les données d’entreprises sont devenues un enjeu majeur de compétitivité, et le vol de ces données est largement sous-estimé. L’offre Stormshield Data Security propose le chiffrement des données de bout en bout, de l’utilisateur jusqu’au destinataire, pour fournir une protection transparente contre les attaques de l’intercepteur (man-in-the-middle attacks), l’administration malveillante et la fuite des données.

Partager sur

A propos de l'auteur

mm
Victor Poitevin
Digital Manager, Stormshield

Victor Poitevin est le Digital Manager de Stormshield. Rattaché à la Direction marketing, sa mission est d'améliorer la visibilité du Groupe sur le web. Sites internet, réseaux sociaux, blogs... c'est tout l'écosystème de Stormshield qui est mis à contribution. Et pour répondre aux hautes ambitions digitales du Groupe, il s'appuiera sur ses différentes expériences, au sein de plusieurs grands groupes français et internationaux, ainsi qu'en agence de communication.