L'actualité récente a mis en doute l'infaillibilité des iPhone et plus particulièrement le danger du jailbreaking. Cette méthode consiste à débrider l'iPhone pour en avoir le contrôle total et l'utiliser au-delà des limites imposées par Apple. Mais cela laisse la porte ouverte aux pirates informatiques pour accéder aux données personnelles stockées ou accédées par l'appareil. Il ne faut pas confondre avec le désimlock, qui autorise l'utilisation de son appareil via n'importe quel opérateur. Comme son nom l'indique, le désimlock agit sur la carte SIM. Le jailbreaking agit directement sur l'appareil.
Ainsi, ce sont 225 000 comptes, dont les terminaux mobiles étaient « jailbreakés » et utilisant le système iOS, qui ont été attaqués via un logiciel malveillant (en 2015 ?). En jailbreakant leurs appareils, ces usagers ont retiré de facto toute la sécurité Apple, et ont permis aux pirates de s'introduire dans le système des iPhones infectés. Ils ont pu soit opérer des actions de ransomware (prise en otage des données et demande de rançon), soit récupérer les données personnelles telles que les identifiants et les mots de passe d'accès à la plateforme iTunes, mais également à toutes les données utiles pour accéder aux boîtes mails, aux comptes en ligne…
Si pour le particulier le préjudice peut être important, pour les entreprises dont les salariés ont été attaqués, les dommages peuvent être encore bien plus graves : perte et fuite de données, infiltration du SI… des pertes qui peuvent se chiffrer en milliers d'euros, voire en millions.
Dans le cas des grandes organisations, il est courant que ces dernières imposent à leurs salariés une charte de bonne conduite ou bien qu'elles aient mis en place des outils de gestion de flotte de terminaux mobiles (Mobile Device Management). A contrario, les entreprises de plus petites tailles, qui proposent à leurs collaborateurs d'utiliser leurs propres appareils personnels dans leur environnement professionnel, sont les plus vulnérables et dépendent totalement de leurs salariés.
Pour ces dernières, il devient impératif de développer des campagnes de sensibilisation s'appuyant sur :
- Des exemples concrets des dangers qu'ils font encourir à leur organisation
- La mise en place d'une charte des usages « do and don't »
- Voire l'intervention d'un expert qui saura vulgariser le sujet au plus grand nombre
- …
Quant aux particuliers, il faut que les usagers soient également sensibilisés aux risques auxquels ils s'exposent. Un vol de données personnelles, via leur iPhone jailbreaké, peut avoir de graves conséquences, et pas uniquement financières, comme par exemple l'utilisation frauduleuse de l'identité de la victime. Bien entendu, il est difficile d'interdire aux usagers (en particulier la génération Y) qui souhaitent profiter des programmes « hors cadre d'Apple », de pouvoir échanger des fichiers iTunes, d'utiliser des jeux… Cependant, ils doivent prendre conscience que les pirates multiplient les malwares mobiles et profitent largement de ces programmes attractifs, pour « harponner » cette population particulièrement vulnérable.
On notera par ailleurs qu'Apple, pour se « défendre » contre la multiplication des jailbreaks, a notifié à ses clients « que toute modification non autorisée de l'iOS constitue une violation du contrat de licence de l'utilisateur final de l'iPhone et, pour cette raison, nous pouvons refuser d'effectuer la réparation d'un iPhone, iPad ou iPod touch sur lequel est installé un logiciel non autorisé. » A bon entendeur !