Apple se prépare aux futures menaces pesant sur iMessage en introduisant un cryptage amélioré pour son service de messagerie à l’aide d’ordinateurs quantiques.
Considérez-le comme une sécurité quantique de pointe pour la messagerie à grande échelle, affirme la société, ce qui rend le système de messagerie d’Apple plus sécurisé contre les ennemis actuels et futurs.
Quelle est la protection ?
Annoncée sur le blog Security Research d’Apple, la nouvelle protection iMessage s’appelle PQ3 et promet les « propriétés de sécurité les plus solides de tous les protocoles de messagerie à grande échelle au monde ».
La justification de cette protection est «Et si?»
Dans ce cas, les équipes de sécurité d’Apple se sont demandées ce qui pourrait arriver si des pirates informatiques, des criminels ou des sociétés de surveillance malveillantes soutenues par l’État rassemblaient aujourd’hui de grandes quantités de données iMessage cryptées afin de briser ce cryptage à l’aide d’ordinateurs quantiques demain.
Apple appelle cela un Récoltez maintenant, décryptez plus tard attaque. Le nouveau protocole de sécurité est conçu pour aider à se protéger contre cela.
Quelle est la probabilité de telles attaques ?
Ces attaques sont moins probables aujourd’hui qu’elles pourraient le devenir. Il est largement admis que les ordinateurs quantiques seront capables de déchiffrer la cryptographie à clé publique classique telle que RSA, les signatures à courbe elliptique et l’échange de clés Diffie-Hellman utilisées aujourd’hui.
Apple explique :
«Tous ces algorithmes sont basés sur des problèmes mathématiques difficiles qui ont longtemps été considérés comme trop gourmands en calculs pour être résolus par les ordinateurs, même en tenant compte de la loi de Moore. Cependant, l’essor de l’informatique quantique menace de changer la donne. Un ordinateur quantique suffisamment puissant pourrait résoudre ces problèmes mathématiques classiques de manières fondamentalement différentes et donc – en théorie – le faire assez rapidement pour menacer la sécurité des communications cryptées de bout en bout.
En vérité, les ordinateurs quantiques sont chers, ce qui signifie que leur utilisation est largement limitée aux entités les plus puissantes du monde. Mais à mesure que les ventes augmentent et que les coûts diminuent, elles vont proliférer – et si Apple envisage la menace potentielle, alors les acteurs de la menace de divers bords exploreront également cette possibilité.
Le secteur de la sécurité se prépare
Apple n’est pas seul. La communauté cryptographique explore également la cryptographie post-quantique (PQC), dans le but de développer de nouveaux algorithmes à clé publique qui s’exécutent sur les appareils que nous utilisons aujourd’hui tout en les protégeant contre les formes d’attaque que nous pensons que les ordinateurs quantiques seront capables de réaliser demain.
Signal, par exemple, a présenté sa propre vision de la sécurité PQC il y a quelques mois.
iMessage va plus loin dans cette protection.
PQC n’est pas seulement utilisé pour sécuriser « l’établissement initial de la clé » (lorsqu’un algorithme partagé est défini), mais avec la capacité de restaurer la sécurité rapidement et automatiquement si cette clé initiale est compromise.
Apple a soumis le PQ3 à deux chercheurs en sécurité de premier plan qui ont vérifié la technologie : le professeur David Basin du groupe de sécurité de l’information de l’ETH de Zurich, en Suisse, et Douglas Stebila, professeur à l’Université de Waterloo.
Basin a écrit : « Nous avons utilisé Tamarin pour vérifier formellement le protocole de messagerie d’appareil à appareil PQ3. De notre analyse, nous concluons que ce protocole offre de solides garanties de sécurité contre un adversaire de réseau actif qui peut compromettre sélectivement les parties et dispose de capacités informatiques quantiques.
Tamarin est un outil de vérification de sécurité leader.
Stabila a déclaré : « L’analyse montre que PQ3 assure la confidentialité avec le secret transmis et la sécurité post-compromis contre les adversaires classiques et quantiques, à la fois dans l’échange initial de clés ainsi que dans la phase continue de saisie du protocole. »
Des documents de recherche décrivant les recherches universitaires menées par les deux professeurs sont disponibles sur le site Web de sécurité d’Apple, où vous trouverez également une analyse beaucoup plus approfondie du fonctionnement de PQ3 et des protections qu’il offre.
Que peut-on lire là-dedans ?
Le signal qu’Apple envoie avec l’introduction de cette protection dans iMessage ne doit pas être ignoré. Il faut y voir à la fois une promesse et un avertissement.
- La promesse est que les équipes de sécurité d’Apple s’efforcent de devancer les menaces actuelles et futures.
- L’avertissement est que si Apple estime nécessaire de protéger aujourd’hui des millions d’utilisateurs d’iMessage contre de telles menaces, demain se profile à grands pas.
Les responsables technologiques d’entreprise et les services informatiques devraient donc également s’efforcer de protéger leurs propres données contre d’éventuelles attaques menées par l’informatique quantique.
À tout le moins, cela impliquera de se tenir au courant des nouvelles recherches dans le domaine, notamment celles du National Institute of Standards and Technology (NIST) du ministère américain du Commerce, qui a annoncé quelques outils de chiffrement préliminaires pour l’ère post-quantique en 2022. Une réponse pourrait également consister à insister sur une telle protection dans les nouvelles relations d’achat.
Quand la sécurité quantique d’iMessage est-elle lancée ?
- Apple indique que la prise en charge de PQ3 commencera à être déployée avec les versions publiques d’iOS 17.4, iPadOS 17.4, macOS 14.4 et watchOS 10.4.
- Cela signifie que le support devrait déjà être disponible dans les versions bêta.
Il explique que les conversations iMessage entre les appareils prenant en charge PQ3 passent automatiquement au protocole de cryptage post-quantique. “Au fur et à mesure que nous acquérons une expérience opérationnelle avec PQ3 à l’échelle mondiale massive d’iMessage, il remplacera entièrement le protocole existant dans toutes les conversations prises en charge cette année.”
Pour Apple, la protection reflète la mesure dans laquelle les améliorations en matière de confidentialité et de sécurité ont fait partie intégrante de son service iMessage depuis son introduction. Il s’appuie, par exemple, sur des protections robustes telles que le mode de verrouillage et la vérification des clés de contact qui existent déjà.
Veuillez me suivre sur Mastodon ou rejoignez-moi dans les groupes bar & grill et Apple Discussions d’AppleHolic sur MeWe.
Copyright © 2024 IDG Communications, Inc.