Comment Apple teste la fiabilité de ses iPhone dans un laboratoire secret à Paris

C’est un lieu à l’adresse bien gardée. La politique du secret d’Apple s’applique aussi au-delà des murs de l’Apple Park de Cupertino: le laboratoire de recherche sécuritaire de l’entreprise a pris ses quartiers au cœur de Paris, en toute discrétion.

Le média britannique The Independent a pu le visiter. C’est ici qu’Apple a mis en place une équipe chargée de pirater ses propres iPhone, mais aussi d’autres appareils qui arriveront dans quelques années. Mais tout cela, pour le bien de ses utilisateurs. La sécurité des données est un sacerdoce pour Tim Cook et les siens, qui ne cessent de rabâcher le message à chaque lancement de produit ou de service nécessitant un accès aux données personnelles.

Des pirates suréquipés pour la bonne cause

Les ingénieurs du laboratoire disposent d’une large palette d’outils pour pirater, trouver des failles matérielles, les anticiper, mais aussi les corriger avant qu’elles ne soient rendues publiques. Pour cela, ils disposent de lasers et capteurs de pointe.

C’est la différence entre mettre à l’épreuve la sécurité des logiciels et du matériel. L’équipe parisienne œuvre des années avant même que la puce soit implantée dans l’iPhone, rappelle The Independent. Celle-ci sert à chiffrer les données sécurisées pour qu’elles ne soient pas lues par une autre personne. Il est important que leur écrin soit tout aussi sécurisé.

Ces employés pas comme les autres sont en fait des hackers d’élite. Ils s’évertuent ainsi à faire en sorte qu’aucun signe ne soit perceptible du travail de chiffrage réalisé par la puce. Car cela pourrait être un indice donné à des pirates à distance par la chauffe repérée — même très faible — due aux calculs.

Pour anticiper les attaques possibles, ils vont alors tenter d’attaquer les puces, de les faire exploser avec des lasers précis, les faire chauffer ou refroidir, tester leur réactivité. Une fois la faille potentielle repérée, ils passent la main aux équipes en charge de l’élaboration du matériel pour qu’elles le renforcent.

Apple ne communique pas sur le montant investi dans la sécurité de ses appareils et logiciels. Seul montant connu: les 10 millions de dollars alloués à la cybersécurité pour soutenir des organismes de la société civile.

Paris et son savoir-faire sécuritaire

Le site de Paris a été choisi pour le savoir-faire français en matière de cybersécurité et de lutte contre la cybercriminalité. C’est ici qu’a été inventée la carte à puce, rappelle le média britannique. Apple a par ailleurs mis un pied dans l’incubateur de startups Station F, et garde donc un œil sur la créativité des développeurs hexagonaux dans différents domaines, dont la sécurité.

Un domaine dans lequel la marque californienne se veut à la pointe pour ses appareils. Elle se vante même d’avoir des années d’avance sur les cyberpirates grâce notamment à des laboratoires de recherche en sécurité comme celui de Paris. Et il faut dire qu’elle s’en donne les moyens, avec un programme de récompense pour des chasseurs de bug (Bug Bounty) désormais plutôt généreux.

La cybercriminalité connaît un essor intense ces dernières années avec, en plus des attaques habituelles de hackers, la multiplication de sociétés dont le but est justement d’armer des pirates ou des États. Ce fut notamment le cas dans l’affaire Pegasus, du nom du virus qui a réussi à infiltrer des smartphones de personnalités pour les espionner. Un événement qui a poussé Apple à réagir encore plus fort.

”Nous pensons qu’il est inacceptable que ce type de logiciels espions soient utilisés de cette manière. Ces utilisateurs méritent une technologie fiable et sûre et la possibilité de communiquer librement et en toute sécurité, tout comme tous nos autres utilisateurs”, confie à The Independent Ivan Krstić, responsable de l’ingénierie et de l’architecture de sécurité chez Apple.

Le mode Isolement conçu par Apple pour ses appareils a vu le jour à Paris et, sans le nommer, est probablement une réponse à Pegasus. Il s’agit là d’une fonction de verrouillage de l’iPhone pour protéger les utilisateurs face à des personnes mal intentionnées.

Cette fonction, quelque peu masquée, sait repérer une attaque contre votre iPhone et va bloquer le fonctionnement des parties ciblées (pièce jointe de message, web, FaceTime, connexion d'un accessoire, etc.). Un message vous signalera l’activation du dispositif, qui sacrifie alors l’accès à certaines options sensibles de votre appareil.

Prochain défi: défendre la sécurité de son App Store

Sécuriser le matériel autant que le logiciel est désormais la ligne de conduite d’Apple. Même si ce n’est que pour une infirme partie de ses utilisateurs, comme c’est le cas pour la fonction de verrouillage avancée. Mais les équipes d'Apple savent que le chemin est encore long et sa politique dans le domaine encore complexe à faire comprendre.

Sa prochaine croisade sécuritaire, ce sera auprès de l’Union européenne qui lui a imposé l’ouverture de sa boutique d’applications à la concurrence. Apple a accepté l’idée, mais rendra sans doute la mise en place complexe, arguant de la sécurité et de la confidentialité de ses utilisateurs.