Mac et iPhone sont-ils vraiment plus sécurisés ? Ce qu’en disent les experts en cybersécurité

La réputation sécuritaire des environnements Apple est solidement installée dans le débat public. Intégration matérielle et logicielle, contrôle des mises à jour, discours puissant sur la vie privée : l’écosystème Apple bénéficie d’une image de robustesse. Mais que dit réellement la pratique professionnelle ? À partir d’un échange réunissant Matthieu Castel (responsable des ingénieurs système France et Europe du Sud chez Jamf), Xavier Rotivel (responsable IT chez Qonto) et Baptiste Robert (hacker éthique et fondateur de Predicta Lab), cet article propose une lecture analytique des forces et limites de la sécurité sur Mac et iPhone.
‍

iOS vs Android : une supériorité relative

À la question de savoir si iOS présente moins de vulnérabilités qu’Android, Matthieu Castel estime que la réponse est « plutôt oui », notamment parce que la maîtrise de l’écosystème par Apple est plus avancée. En effet, le constructeur contrôle à la fois le matériel et le logiciel, contrairement à Android, caractérisé par une forte fragmentation. Xavier Rotivel partage cette perception : « Il y a un respect de la vie privée qui est plus important », en allusion à la politique d’Apple en matière de traçage publicitaire, d’isolation des applications (sandboxing) et de contrôle des permissions.

À lire aussi : Pourquoi les femmes restent sous-représentées dans la tech : les insights de Nassima Auvray

Cependant, Baptiste Robert adopte une position plus critique. Selon lui, « c’est à peu près pareil partout » puisque les deux systèmes comporteraient des failles. Cette divergence rappelle une réalité simple : aucun système n’est intrinsèquement sécurisé. D’un point de vue technique, les deux environnements intègrent aujourd’hui plusieurs éléments : le chiffrement par défaut des données, des mécanismes d’isolation des applications, des protections contre l'exécution de code arbitraire, des cycles réguliers de mises à jour de sécurité, etc… Par ailleurs, l’intégration verticale d’Apple facilite indéniablement le déploiement des correctifs. Mais elle ne supprime pas l’existence de vulnérabilités, notamment les failles zero day. Pour rappel, une vulnérabilité zero day (ou 0-day) est un risque de sécurité dans un logiciel qui n’est pas connu publiquement et dont le fournisseur n’a pas connaissance. Elle constitue l’un des vecteurs les plus redoutés en cybersécurité contemporaine.

L’essor du Mac en entreprise : un risque mal maîtrisé ?
‍

Le Mac connaît depuis plusieurs années une progression continue dans les organisations. Selon Matthieu Castel, « Apple est le seul depuis cinq ans à avoir chaque année une croissance de ventes de ses appareils Mac OS par rapport au PC, qui est plutôt un marché en déclin ». Cette adoption accélérée, notamment durant la période Covid, s’accompagne d’un paradoxe : le Mac est parfois moins bien administré que les environnements Windows, historiquement maîtrisés. « Une compréhension de cet outil amène à une moins bonne gestion, notamment sur la mise en œuvre des politiques de patching », ajoute-t-il.

À lire aussi : Cybersécurité et souveraineté : pourquoi la Chine expulse les logiciels américains et israéliens

Matthieu Castel affirme qu’une mauvaise compréhension de l’environnement peut conduire à une gestion moins rigoureuse, notamment sur les politiques de patching. Xavier Rotivel confirme ce décalage culturel : « Historiquement, beaucoup d’entreprises ont du PC et savent bien gérer la sécurité sur leur PC. Il faut toutefois avoir les bons outils et mettre en place les bonnes règles ». La sécurité n’est donc pas une conséquence automatique du choix Apple. Elle dépend de la maturité organisationnelle et des outils de gestion déployés.

La menace transversale des infostealers
‍

Un point de consensus important émerge autour des infostealers, dont le fondateur de Predicta Lab Baptiste Robert donne une définition précise : « Un infostealer, c’est un type de malware qui compromet un ordinateur ou un téléphone. Une fois qu’il infecte un système, il récupère l’intégralité des mots de passe qui y sont stockés, les cookies validés, l’historique de navigation et certains fichiers ». Selon lui, environ 30% de la menace sur Mac est aujourd’hui en lien avec ces outils, ce qui représente une proportion comparable aux autres environnements.

À lire aussi : Cybersécurité et IA : la vision stratégique d’Eva Chen pour protéger l’avenir numérique

En outre, le changement stratégique est majeur, puisque « les attaquants n’essayent plus de casser des sessions, mais utilisent des identifiants valides volés au préalable ». Autrement dit, la compromission passe désormais par l’exploitation d’identifiants légitimes plutôt que par l’attaque directe des systèmes. Cela rend donc caduque l’idée d’une immunité liée au système d’exploitation : Mac, Windows, iOS ou Android sont exposés de manière similaire à ce phénomène. Dans ce contexte, la réponse ne doit pas se limiter à l’antivirus : elle doit impliquer monitoring des fuites, rotation des identifiants et sensibilisation continue des collaborateurs.
‍

Spywares étatiques : menace réelle mais ciblée
‍

La discussion s’est aussi portée sur les logiciels espions développés par des sociétés privées telles que NSO Group, exploitant des chaînes de failles zero-day. Par ailleurs, Matthieu Castel rappelle le caractère sélectif de ces attaques : « Les dirigeants, les VIP en entreprises et les personnalités publiques sont la cible de ce type d’attaques extrêmement sophistiquées. La menace n’est pas généralisée ». Baptiste Robert insiste sur le coût stratégique d’une telle opération : « Il ne s’agit pas d’une faille, mais d’une chaîne de failles. Ces zero-day valent des millions de dollars. Décider d’infecter quelqu’un comporte un risque : celui de perdre une chaîne d’exploits qui a coûté 5 millions [d’euros] ». Ainsi, et contrairement aux infostealers, ces attaques ne visent pas l’utilisateur ordinaire. Elles répondent davantage à une logique géopolitique et informationnelle précise. 

À lire aussi : Groenland : anatomie d’une guerre hybride informationnelle et numérique

Concernant la détection, le hacker éthique Baptiste Robert affirme qu’ « il n’y a pas vraiment de signe [puisque] ces logiciels sont conçus pour laisser extrêmement peu de traces et s’auto-détruire au moindre soupçon ». La sécurité ici relève donc davantage de la forensic mobile et d’analyses avancées que de l’usage quotidien. L’analyse forensique mobile est le processus de récupération de preuves numériques à partir d’appareils mobiles à l’aide de méthodes reconnues. Elle se concentre entièrement sur la récupération de données à travers les smartphones, les téléphones Android et les tablettes.

Concilier sécurité relative et responsabilité systémique
‍

En somme, d’après nos experts interrogés, il peut être admis qu’utiliser un Mac ou un iPhone ne garantit ni invulnérabilité ni exposition automatique. D’une part, les environnements Apple offrent une forte intégration technique, une diffusion efficace des mises à jour, des mécanismes natifs de protection (isolation des applications, chiffrement de bout en bout, protections de la mémoire), etc… Mais d’autre part, ils demeurent exposés aux malwares opportunistes comme les infostealers, aux erreurs humaines, aux vulnérabilités zero-day, aux attaques ciblées de haute intensité et autres.

À lire aussi : Comment assurer la continuité d’activité face aux crises : blackout, cyberattaques et pandémies

Dans ce contexte, la question n’est pas de trancher entre un Mac et un PC. Il faudrait donc admettre que la sécurité n’est pas une propriété marketing, mais un processus dynamique dépendant de la maturité technique et organisationnelle de l’entreprise en question. Mac et iPhone ont beau avoir la réputation de constituer des environnements robustes ; ils ne remplacent pas, du moins pour l’heure actuelle, une stratégie de cybersécurité cohérente et systémique.