Recevez chaque jour toute l'actualité du numérique

x

Cybersécurité : Apple abandonne ses poursuites contre Corellium, à l'origine d'un émulateur iOS

Vu ailleurs Alors que le litige devait être tranché le 16 août, Apple a décidé se retirer sa plainte contre Corellium et de trouver un terrain d'entente. En permettant aux chercheurs de traquer les failles de sécurité sur des appareils Apple virtualisés, la société était accusée de violer le droit d'auteur de la firme de Cupertino. Ces arguments avaient été rejetés à l'occasion d'un premier jugement en décembre 2020. 
Twitter Facebook Linkedin Flipboard Email
×

Apple abandonne ses poursuites contre Corellium, à l'origine d'un émulateur iOS
Cybersécurité : Apple abandonne ses poursuites contre Corellium, à l'origine d'un émulateur iOS © Corellium

Apple a finalement laissé tomber sa plainte contre la société Corellium, spécialiste de la sécurité informatique qui propose un service permettant de virtualiser un appareil iOS, et a accepté de signer un accord, rapporte le Wall Street Journal citant des documents judiciaires. Le litige devait être jugé le 16 août prochain devant la cour fédérale de Fort Lauderdale en Floride.

C'est en août 2019 qu'Apple a décidé de poursuivre Corellium pour violation du Digital Millennium Copyright Act (DCMA), une loi américaine adoptée en 1988 qui régit les droits d'auteur en ligne. Il exigeait que la société arrête "toutes les utilisations" de ses produits de virtualisation iOS et lui verse des dommages et intérêts pour le préjudice subi (violation du droit d'auteur).

Un environnement de test sans appareil physique
Pour comprendre les allégations d'Apple, il faut revenir sur ce que propose Corellium. Cette société, fondée en 2017 et qu'Apple a voulu racheter un an plus tard, permet aux chercheurs en sécurité informatique de déceler des failles grâce à une virtualisation des appareils iOS. Par exemple si un expert découvre un bug, il peut rapidement charger des versions antérieures d'iOS pour voir depuis combien de temps ce bug existe. Si ce bug rend inutilisable l'appareil, il pourrait simplement en démarrer un nouveau sur son ordinateur plutôt que de devoir se procureur un nouvel appareil.

L'hostilité d'Apple face aux chercheurs indépendants
L'importance de cet outil vient du fait qu'Apple n'en fournit pas lui-même aux chercheurs en cybersécurité indépendants. Apple se montre en effet relativement hostile envers cette communauté, y compris lorsqu'il s'agit de payer pour son programme de bug bounty. La firme à la pomme limitait donc jusqu'à maintenant au maximum les accès aux rouages de son systèmes d'exploitation mobile. Cette procédure juridique s'appuyant abusivement sur le DMCA visait à dissuader la création d'outils indépendants et avait été lourdement critiqué par le milieu de la recherche en cybersécurité.

La nécessité de protéger la recherche indépendance en cybersécurité était justement l'un des arguments principaux face aux accusations d'Apple. "La recherche en sécurité est vitale pour la protection des ordinateurs dont nous dépendons tous", explique à ce sujet Kurt Opsahl, directeur de l'Electronic Frontier Foundation (EFF). Cette ONG de défense des libertés sur Internet a d'ailleurs publié en juin dernier une lettre adressée aux grandes entreprises technologiques, dont Apple, leur demandant d'arrêter d'utiliser le DCMA pour entraver la recherche en sécurité informatique.

La réalité étant que même si les chercheurs indépendants ne trouvent pas de failles, d'autres experts malveillants ne se priveront pas de le faire... et de les exploiter au détriment des utilisateurs. C'est notamment ce qu'a démontré l'affaire d'espionnage Pegasus, dont la majorité des téléphones infectés à distance étaient des iPhones. Ce n'est pas la première fois que des cas d'intrusions sont recensés sur ces terminaux, mais l'ampleur de l'attaque pourrait en partie ébranler l'image d'Apple, d'autant qu'elle place la vie privée au cœur de son business. A noter que l'entreprise est également sujette à de nombreuses critiques de la part de la communauté cyber suite à ses projets de scan systématique des fichiers présents sur ses appareils.

Apple est débouté
De leurs côtés, les avocats de la firme à la pomme accusaient Corellium d'avoir commercialisé son service auprès d'agences gouvernementales américaines. En particulier, David Wang, l'un des fondateurs de Corellium, a aidé le FBI à déverrouiller un iPhone appartenant à l'un des terroristes responsables de la fusillade de San Bernardino en 2015.

Pour rappel, à la suite de cette tuerie, le FBI avait justement demandé à Apple de mettre au point un système d'exploitation iOS ad hoc permettant de contourner les mesures de sécurité qui empêchent l'accès aux données chiffrées sur l'iPhone incriminé. L'entreprise de Tim Cook avait refusé, estimant que créer de toute pièce une version fragilisée de son propre système d'exploitation était une manipulation dangereuse, car rien ne garantissait que cette version ne soit utilisée qu'une seule fois.

Mais, en décembre dernier, le juge Rodney Smith a rejeté les prétentions d'Apple, qualifiant certains de ses arguments de "déroutants, voire fallacieux". Apple a fait appel de cette décision pour finalement reculer et signer un accord avec Corellium. Les termes du contrat restent confidentiels.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.