Passe d’armes entre Apple et Google : Quand la cybersécurité devient un enjeu concurrentiel

L’affaire est assez surprenante pour qu’on s’y attarde : depuis un peu plus d’une semaine, un conflit a éclaté entre Google et Apple à propos de la sécurité de iOS, le système d’exploitation des iPhones et autres iPads de la firme de Cupertino.

Quand les équipes de Google révèlent des failles de sécurité chez Apple

Le début des hostilités peut être retracé au 30 août, quand l’équipe de cybersécurité d’élite de Google, Project Zero, a publié une série de billets sur son blog à propos de piratages exploitant, via des sites web compromis, des vulnérabilités d’iOS, entre septembre 2016 et janvier 2018 :

Au début de l’année, le groupe d’analyse de menaces de Google (TAG) a découvert un petit lot de sites web piratés. Les sites piratés étaient utilisés dans des attaques “watering hole” indiscriminées contre leurs visiteurs (…).

S’en suit une description extrêmement technique, en sept billets subséquents, des 14 vulnérabilités et 5 exploits recensés par l’équipe TAG de Google.

Apple accuse Google d’avoir largement surestimé la gravité des attaques…

Le 1er septembre, le site d’information TechCrunch révélait que ces attaques, initialement présentées comme “indiscriminées” par Google, ne visaient en réalité que les Uyghurs, une communauté musulmane de Chine. Le mystère s’épaissit.

Enfin, vendredi 6 septembre, Apple décide de sortir du silence et accuse son concurrent, tout en reconnaissant la réalité des exploits, “d’attiser la crainte chez les utilisateurs d’iPhone que leurs appareils aient été compromis” :

Premièrement, cette attaque sophistiquée était étroitement ciblée, et non pas un exploit élargi visant les iPhones “en masse” comme cela a été décrit. L’attaque a affecté moins d’une douzaine de sites web consacrés à du contenu lié à la communauté Uyghur. (…)

Deuxièmement, toutes les preuves indiquent que ces attaques de sites web n’ont été opérationnelles que pendant une brève période, d’à peu près deux mois, et non “deux ans” comme Google le sous-entend.

… Et pourrait bien avoir raison

Pour Yonathan Klijnsma, expert en risques cybersécurité pour RiskIQ, l’indignation d’Apple n’est pas sans fondement : cité par ZDNet, il assure d’une part que des appareils tournant sous Android, le système d’exploitation de Google, ont été visés par une campagne similaire, mais également que le code malicieux employé par les attaquants incluait des filtres visant à “empêcher le code malicieux de s’exécuter sur les appareils d’utilisateurs non visés”.

Pour l’heure, Google soutient ses experts, mais avec un léger bémol :

Nous soutenons notre recherche de profondeur, qui était écrite pour se concentrer sur les aspects techniques de ces vulnérabilités.

Un enjeu stratégique majeur pour toutes les organisations

Google a-t-il fait preuve de partialité coupable au moment d’évoquer une vulnérabilité chez son principal concurrent ? Apple aurait-il dû, pour éviter tout malentendu, communiquer de façon proactive sur le piratage dès le mois de février ?

Chacun est libre de se faire son avis, mais une chose est sûre, la cybersécurité est devenue un enjeu concurrentiel de la plus haute importance stratégique non seulement pour les géants du numérique, mais en réalité pour toutes les organisations.