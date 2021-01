Apple perd son procès contre Corellium, une société qui propose la virtualisation d'iOS utilisée par les chercheurs en sécurité. Le fabriquant d'iPhone l'a accusé d'avoir violé son droit d'auteur 3PARTAGES 4 0 Corellium, une société de recherche en sécurité poursuivie par Apple, a remporté une victoire juridique majeure contre le fabricant d'iPhone. Dans une décision qui a de vastes implications pour la recherche sur la sécurité de l'iPhone et la loi sur les droits d'auteur, un juge fédéral de Floride a rejeté les affirmations d'Apple selon lesquelles Corellium avait violé la loi sur les droits d'auteur avec son logiciel qui aide les chercheurs en sécurité à trouver des bogues et des failles de sécurité sur les produits Apple.



Corellium, cofondé en 2017 par Amanda Gorton et Chris Wade, a été une percée dans la recherche sur la sécurité car il a donné à ses clients la possibilité d'exécuter des iPhones « virtuels » sur des ordinateurs de bureau. Les logiciels de Corellium rendent inutile l’utilisation d’iPhones physiques contenant iOS, le système d’exploitation mobile d’Apple.



En août 2019, Apple a intenté une action en justice contre Corellium, une entreprise qui fournit donc les frameworks d'un simulateur iOS utilisé par les chercheurs en sécurité. Dans sa plainte, Apple a allégué que la société de logiciels a copié le système d'exploitation, l'interface utilisateur graphique et d'autres aspects des appareils sans autorisation. Elle accuse Corellium d'avoir agi sous prétexte d'aider à découvrir des bogues dans le système d'exploitation de l'iPhone, mais de vendre ensuite l'information « sur le marché libre au plus offrant ».



En réponse à la plainte d’Apple, Corellium a accusé Apple d’utiliser des « pratiques commerciales déloyales auxquelles le tribunal doit mettre fin ». Selon Corellium, Apple connaissait et encourageait son activité jusqu'à ce qu'il décide de proposer son propre produit concurrent. La première version de la plainte d'Apple accusait Corellium de violation de droits d'auteur. Une nouvelle version a été déposée le 27 décembre 2019 et alléguait à la fois la violation des droits d'auteur et le trafic illégal d'un produit utilisé pour contourner les mesures de sécurité en violation de la DMCA.



En février, en réponse aux allégations d'Apple, Amanda Gorton, PDG de Corellium, a déclaré : « La dernière plainte d'Apple devrait donner aux chercheurs en sécurité, aux développeurs d'applications et aux jailbreakers des raisons de s'inquiéter ». Et d'ajouter : « Nous sommes profondément déçus par la diabolisation persistante du Jailbreaking par Apple. Dans l'industrie, les développeurs et les chercheurs s'appuient sur les jailbreaks pour tester la sécurité de leurs applications et des applications de tiers, des tests qui ne peuvent être effectués sans un appareil jailbreaké ».



Selon Corellium, la plainte d'Apple suggère que quiconque fournit un outil qui permet à d'autres personnes de faire des jailbreaks et quiconque aide à créer un tel outil viole la DMCA. « Apple utilise cette affaire comme un ballon d'essai dans un nouvel angle pour réprimer les jailbreaks et cherche à établir un précédent pour éliminer les jailbreaks publics », a-t-elle ajouté. Cependant, Apple a répliqué en soutenant que les violations présumées de la DMCA par Corellium permettent à la fois des violations du copyright d'Apple et la propagation de vulnérabilités de sécurité.





La création par Corellium d’iPhones virtuels n’était pas une violation du droit d’auteur



Le juge de l’affaire a statué que la création par Corellium d’iPhones virtuels n’était pas une violation du droit d’auteur, en partie parce que ce système avait été conçu pour améliorer la sécurité de tous les utilisateurs d’iPhone. Corellium ne créait pas un produit concurrent pour les consommateurs, il s'agissait plutôt d'un outil de recherche pour un nombre relativement restreint de clients.



David L. Hecht, fondateur du cabinet d'avocats Hecht Partners et co-conseil de Corellium, a déclaré dans un communiqué : « Nous sommes très heureux de la décision de la Cour sur l'utilisation équitable et sommes fiers de la force et de la détermination dont nos clients de Corellium ont fait preuve dans cette bataille importante. La Cour a affirmé le solide équilibre qu'offre l'utilisation équitable et la portée de la protection du droit d'auteur sur d'autres marchés, ce qui est une énorme victoire pour le secteur de la recherche sur la sécurité en particulier ».



Durant le procès, Apple a fait valoir que les produits de Corellium pourraient être dangereux s'ils tombaient entre de mauvaises mains, car les failles de sécurité découvertes par Corellium pourraient être utilisées pour pirater des iPhones. Apple a également fait valoir que Corellium vend son produit sans discernement, une affirmation que Corellium a rejetée.



Le juge Rodney Smith a qualifié l'argument d'Apple sur ces affirmations de « déroutant, voire malhonnête ». En effet, il a été porté à la connaissance du juge que Corellium utilisait un processus de vérification avant de vendre ses produits aux clients.



Apple a initialement tenté d'acquérir Corellium en 2018, selon les archives judiciaires. Lorsque les pourparlers d'acquisition se sont arrêtés, Apple a poursuivi Corellium l'année dernière, affirmant que ses iPhones virtuels, qui ne contiennent que les fonctions simples nécessaires à la recherche sur la sécurité, constituent une violation de la loi sur le droit d'auteur. Apple a également allégué que Corellium avait contourné les mesures de sécurité d'Apple pour créer le logiciel, violant ainsi le Digital Millennium Copyright Act. Cette affirmation n'a pas été rejetée.



« En prenant en compte tous les facteurs nécessaires, la Cour conclut que Corellium s’est acquitté de son fardeau d’établir une utilisation équitable », a écrit Smith dans son verdict. « Ainsi, son utilisation d'iOS en relation avec le produit Corellium est autorisée ».



Des sociétés telles qu'Apple ont généralement prévalu dans des cas de droits d'auteur similaires dans le passé, et la décision en a surpris plus d'un.



Pourtant, au cours de l'année écoulée, les grandes enseignes de la technologie ont été soumises à un examen plus rigoureux alors que les régulateurs et les législateurs sondaient le comportement de l'industrie. Les dirigeants de Google, Facebook, Apple et Amazon ont été confrontés à des questions sur le comportement anticoncurrentiel devant le Congrès, et Google et Facebook ont été accusés par les régulateurs et les États pour ces motifs.



Apple, pour sa défense, a déclaré que la sécurité et la confidentialité des utilisateurs étaient ses principales préoccupations.





Une décision saluée par la communauté des chercheurs en sécurité



De nombreux membres de la communauté de la sécurité ont salué la décision du juge de Floride.



« Il s'agit d'une victoire majeure pour les chercheurs en sécurité qui cherchent à rendre les appareils Apple plus sûrs pour le monde », a déclaré Will Strafach, un chercheur en sécurité. « C'est un signal très positif qui montre qu'il n'est peut-être pas si facile pour Apple d'essayer d'intimider ceux qui font des choses qu'Apple n'approuve pas. »



L'approche d'Apple en matière de sécurité iPhone a longtemps été critiquée par certains chercheurs, qui estiment que l'entreprise protège trop ses logiciels. Le système d'exploitation iOS empêche les chercheurs de scruter sous le capot pour rechercher des bogues et autres vulnérabilités sans sonder au préalable le téléphone avec des outils spéciaux.



Dans les premières années de l’iPhone, il était plus facile de contourner les restrictions d’Apple. Désormais, les outils pour sonder iOS sont étroitement surveillés par les chercheurs.



Matthew Green, professeur agrégé d'informatique à l'Université Johns Hopkins, a déclaré qu'une grande partie de la recherche sur la sécurité sur iOS est effectuée par des entités bien financées et disposant du temps et des ressources nécessaires pour contourner les restrictions d'Apple. « Ces gens ont tendance à ne pas être les gentils », a-t-il déclaré, faisant référence aux entreprises obscures qui vendent des cyberarmes au plus offrant. Il a déclaré que des outils tels que Corellium « sont ce qui abaisse la barre et permet aux petites entreprises et aux gens potentiellement bons de se lancer dans les produits Apple afin qu'ils puissent faire leur travail. »



Green a évoqué des organisations à but non lucratif telles que Citizen Lab, qui aide les journalistes et autres personnes ciblées par ces groupes. Citizen Lab a récemment découvert une attaque présumée contre des iPhones appartenant à des journalistes d'Al Jazeera.



Green a déclaré qu'il était heureux que Corellium ait remporté le procès face à la revendication de droits d'auteur d'Apple car la loi sur les droits d'auteur, a-t-il dit, peut être utilisée par les grandes entreprises pour « étouffer » la recherche en matière de sécurité.



Pourtant, Dan Guido, PDG de la société de sécurité Trail of Bits, qui aide les particuliers et les entreprises de haut niveau à se protéger des attaques ciblées sur iPhone, s'est demandé si des outils tels que Corellium pourraient vraiment améliorer la sécurité des iPhone. Pour lui, Corellium pourrait être un outil pour « changer la perception du public » et faire pression sur les entreprises pour qu'elles poursuivent leurs recherches sur la sécurité.



Alexander Urbelis, associé du Blackstone Law Group à New York, a déclaré que la décision du tribunal pourrait conduire à plus d'innovation dans la recherche sur la cybersécurité.



« Cette décision permet aux chercheurs en cybersécurité de virtualiser et de tester des composants distincts de logiciels tiers à la recherche de vulnérabilités de sécurité, ce qui fait défaut dans la communauté de la sécurité en partie à cause de la peur de la responsabilité juridique », a-t-il déclaré. Par exemple, Urbelis, qui était autrefois le chef de la sécurité par intérim de la NFL, a déclaré que « la chasse aux vulnérabilités sans entrave » pourrait aider à arrêter les grands piratages de la « chaîne d'approvisionnement » tels que celui qui a affecté Solar Winds. Ce piratage récemment découvert aurait donné aux pirates russes accès à une vaste mine de données du gouvernement américain.



