Des parties du code source d’iBoot, le composant responsable de l’initialisation d’iOS, sont mystérieusement apparues sur GitHub cette semaine. Le matériel a déjà été retiré de là, mais une question demeure : le code est-il légitime ? Pour TechCrunch et d’autres véhicules, Apple a déclaré que le code semble réel, mais a adopté en même temps un ton rassurant.
Il ne serait pas logique de le nier. Dès qu’Apple a eu connaissance du problème, elle a demandé officiellement que le code source soit immédiatement retiré de GitHub, arguant que le matériel est lié à l’adresse IP. Cela a fonctionné : le code a été disponible pendant une courte période. Mais la demande de renvoi a pratiquement confirmé la légitimité.
Apple a également déclaré que, comme cela avait déjà été précisé, le code source est lié à l’iBoot d’iOS 9.3. De plus, le code qui a fait l’objet de la fuite n’est pas complet. Néanmoins, l’incident suscite quelques inquiétudes : qui garantit que l’actuel iOS 11 n’a pas réutilisé au moins une partie de l’ancien iBoot ?
Apple n’a pas commenté ce point, mais la société a expliqué que la sécurité de ses produits ne dépend pas des secrets intégrés dans le code source ? il y a plusieurs couches de sécurité via le matériel et les logiciels derrière chaque appareil.
Apple dit probablement la vérité. L’amorçage est un élément sensible de la sécurité des systèmes d’exploitation, c’est pourquoi il doit être bien protégé. Le fait que, ces dernières années, l’entreprise ait mis en place des mécanismes qui rendent les évasions extrêmement difficiles indique que la sécurité de la plate-forme est traitée avec le sérieux attendu.
La possibilité que le code divulgué révèle un secret de sécurité d’iOS ou facilite la création d’outils d’évasion existe. Mais pour Will Strafach, expert en sécurité consulté par TechCrunch, les risques de problèmes pour l’utilisateur final sont vraiment faibles.
Au bout du compte, le code qui a fait l’objet d’une fuite sera certainement analysé, et à partir de là, Apple identifiera les points critiques pour prendre des mesures préventives si nécessaire. Il va être difficile de découvrir la partie la plus intrigante de cette histoire : comment des morceaux de code source d’une entreprise si soucieuse de protéger sa technologie ont-ils fini dans les mains d’autres personnes ?
