Le célèbre hacker français Cyril Cattiaux, alias Pod2G, prouve, vidéo à l’appui, qu’il est possible d’intercepter des messages échangés via le service iMessage d’Apple et les modifier…

© DR

Le service de messagerie d’Apple, iMessage, est-il vraiment sécurisé? Pas complètement si l’on en croît la récente découverte de Cyril Cattiaux. Le hacker français, plus connus sous le pseudonyme Pod2G, s’est récemment expliqué à ce sujet lors de la conférence Hack in the Box qui s’est tenue ce week-end à Kuala Lumpur en Malaisie. Vidéo à l’appui, il a démontré qu’il est possible d’intercepter des messages échangés via la plateforme d’Apple, à partir de deux iPhone et ensuite les modifier. D’après lui, Apple disposerait de toutes les conditions pour que son service iMessage soit vulnérable à une attaque de type “MITM” (Man In The Middle).

Concrètement, le hacker, travaillant désormais comme chercheur pour QuarksLab, explique que les messages envoyés par le service de messagerie d’Apple sont cryptés avec la clé publique du destinataire. Il s’agit de cette même clé qui est récupérée par le service d’Apple sur ses serveurs. En un rien de temps, ces derniers transmettent ensuite le message au destinataire. Le hacker poursuit en indiquant que rien n’empêcherait Apple, contrairement à ce que la firme américaine prétend, de remplacer ces clés par des clés dont elle a complètement le contrôle; et même pourquoi pas, si elle le souhaite, par des clés contrôlées… par des organismes gouvernementales, telle que la NSA.

S’il est possible d’attribuer une clé à chaque adresse liée à un compte iMessage (numéro de téléphone mobile et adresse e-mail), Apple pourrait donc attribuer une clé supplémentaire, de manière non-transparente, à chaque compte utilisateur pour que chaque message puisse être intercepté et surtout décrypté.

Rien ne dit évidemment qu’Apple utilise cette méthode pour intercepter des messages et les fournir ensuite à des organismes telle que la NSA. En revanche, les utilisateurs du service de messagerie d’Apple doivent se reposer sur les bonnes paroles de la firme américaine leur indiquant qu’il n’y a aucune inquiétude à avoir.

Un système de cryptage utilisé par d’autres services de messagerie

Si le service de messagerie d’Apple est ici pointé du doigt, il faut savoir que ce système de cryptage est utilisé par d’autres services de messageries tels que WhatsApp, Viber ou encore Skype. D’après le hacker, la solution la plus sûre serait d’avoir la possibilité de décentraliser ces fameuses clés de cryptage vers serveur au choix. Bien évidemment, pour une entreprise comme Apple qui souhaite garder le contrôle absolu sur ce qui se passe sur ses produits (pour des question de sécurité, de fiabilité et aussi de marketing), il est impensable qu’elle puisse autoriser cette liberté.

Un outil pour se prémunir… sous OS X seulement

Dans un but de pouvoir se prémunir d’une telle intrusion, Pod2G a mis en ligne un logiciel dont le but est d’empêcher l’interception de vos iMessages. Baptisé IMITMProtect, il est pour l’instant uniquement compatible sous OS X. Le hacker prévient déjà qu’il lui sera impossible d’apporter une solution pour iOS dans la mesure où les clés ne sont pas en mesure d’être stockées sur les terminaux d’Apple.

Réagissez sur le forum.

La vidéo de démonstration de Pod2g :