La sécurité de l'iPhone a été gravement mise en cause ces dernières années par les spywares comme Pegasus, qui exploitent des failles d'iOS pour espionner les utilisateurs. Le constructeur a fini par réagir en novembre dernier, en portant plainte contre NSO Group, le développeur de Pegasus. La Pomme en remet une couche aujourd'hui avec un nouvel outil de protection « extrême » destiné aux victimes de ces tentatives d'écoute.
iOS 16, iPadOS 16 et macOS Ventura vont intégrer un « mode Lockdown » (« Isolement », en français), développé pour tenir l'iPhone, l'iPad ou le Mac à l'écart de ces attaques. Après activation, ce mode va bloquer les pièces jointes dans Messages (en dehors des images). Des fonctions comme les aperçus de lien sont désactivées. Certaines technologies web, comme la compilation JavaScript just-in-time (JIT), sont elles aussi désactivées.
Les invitations à participer à un appel FaceTime sont bloquées, à moins que ce soit l'utilisateur qui ait initié la demande d'appel. Les connexions filaires entre l'iPhone et un ordinateur ou un accessoire sont verrouillées. Les profils de configuration (de type MDM) ne peuvent pas être installés quand le mode Lockdown est activé.
Comme l'explique Apple, ce mode ne concerne qu'une poignée d'utilisateurs — journalistes, activistes, hommes et femmes politiques… — qui craignent que leur iPhone ou que leur Mac soit un vecteur d'attaque pour les espionner.
Ce verrouillage est un nouveau niveau de sécurité « extrême et facultatif » pour les « très rares utilisateurs » qui peuvent être personnellement ciblés par des menaces comme celles de NSO, nommément cité dans le communiqué. Le mode réduit la surface d'attaques exploitée par les « spywares mercenaires ».
La troisième bêta d'iOS 16 et de macOS Ventura, qui a fait son apparition ce soir, contient cette nouvelle option.
Dans la foulée, Apple fait appel aux chercheurs en sécurité pour trouver des failles dans le mode Lockdown : une nouvelle catégorie dans le programme de Bug Bounty est ainsi créée à cet effet, avec à la clé des récompenses pouvant aller jusqu'à 2 millions de dollars.
Le constructeur met également 10 millions de dollars sur la table pour aider les organisations à enquêter, exposer et empêcher les cyberattaques de type Pegasus. Une somme versée auprès du Dignity and Justice Fund.
