Discussion :

[Bill Fassinou]

Apple cible le Jailbreaking dans un procès contre Corellium, une société de virtualisation iOS
pour violation de droit d’auteur

Apple poursuit actuellement en justice Corellium LLC, une société américaine basée en Floride qui fournit des outils de virtualisation iOS, pour violation de droit d’auteur et pour quelques autres raisons. Le procès qui dure depuis quelques mois maintenant a pris une autre tournure et Corellium a aussi accusé à son tour Apple de vouloir contrôler la façon dont les recherches sur la sécurité sont menées afin de limiter ce que le public apprend sur les vulnérabilités de son système. Corellium a aussi allégué qu’Apple cherche à s’en prendre au Jailbreaking.

En août 2019, Apple a intenté une action en justice contre Corellium, une entreprise qui fournit les frameworks d'un simulateur iOS utilisé par les chercheurs en sécurité. Dans sa plainte, Apple a allégué que la société de logiciels a copié le système d'exploitation, l'interface utilisateur graphique et d'autres aspects des appareils sans autorisation. Elle accuse Corellium d'avoir agi sous prétexte d'aider à découvrir des bugs dans le système d'exploitation de l'iPhone, mais de vendre ensuite l'information « sur le marché libre au plus offrant ».

En réponse à la plainte d’Apple, Corellium a accusé Apple d’utiliser des « pratiques commerciales déloyales auxquelles le tribunal doit mettre fin ». Selon Corellium, Apple connaissait et encourageait son activité jusqu'à ce qu'il décide de proposer son propre produit concurrent. La première version de la poursuite d'Apple accusait Corellium de violation de droits d'auteur. Une nouvelle version a été déposée le 27 décembre et allègue à la fois la violation des droits d'auteur et le trafic illégal d'un produit utilisé pour contourner les mesures de sécurité en violation de la DMCA.

La DMCA (Digital Millennium Copyright Act) est une loi américaine adoptée en 1998. L’objectif est de fournir un moyen de lutte contre les violations du droit d'auteur. Il vise à établir une législation de la propriété intellectuelle adaptée à l'ère numérique. Apple a fait valoir que Corellium donne aux utilisateurs la possibilité d'utiliser iOS à des fins bénignes ou malveillantes. Mais Corellium n’est pas d’accord avec la version d’Apple et l’entreprise a récemment accusé Apple de nuire à la recherche, mais aussi de vouloir utiliser la DMCA pour éliminer le jailbreak.

Le jailbreak qui a pour signification « cellule cassée » consiste à installer des applications non approuvées par Apple sur un iPhone, iPad, iPod, Apple Watch et MacBook. Le système d’exploitation de la marque à la pomme appelé communément iOS est un système très cloisonné. Apple fixe des réglementations particulières aux développeurs. Ainsi, le jailbreak est une pratique autorisée aux États-Unis en raison d'une exemption dans la DMCA accordée par le Bureau américain du droit d'auteur (une division de la Bibliothèque du Congrès).

« La dernière plainte d'Apple devrait donner aux chercheurs en sécurité, aux développeurs d'applications et aux jailbreakers des raisons de s'inquiéter », a déclaré Amanda Gorton, PDG de Corellium, en réponse aux nouvelles allégations d’Apple. « Nous sommes profondément déçus par la diabolisation persistante du Jailbreaking par Apple. Dans l'industrie, les développeurs et les chercheurs s'appuient sur les jailbreaks pour tester la sécurité de leurs applications et des applications de tiers, des tests qui ne peuvent être effectués sans un appareil jailbreaké », a-t-elle expliqué.

Selon Corellium, la plainte d'Apple suggère que quiconque fournit un outil qui permet à d'autres personnes de faire des jailbreaks et quiconque aide à créer un tel outil viole la DMCA. « Apple utilise cette affaire comme un ballon d'essai dans un nouvel angle pour réprimer les jailbreaks et cherche à établir un précédent pour éliminer les jailbreaks publics », a-t-elle ajouté. Cependant, Apple réplique en soutenant que les violations présumées de la DMCA par Corellium permettent à la fois des violations du copyright d'Apple et la propagation de vulnérabilités de sécurité.

Par ailleurs, alors que Corellium soutient que ses logiciels aident les entreprises à identifier les bogues d'iOS dans le but d'améliorer le produit et de protéger les utilisateurs, Apple affirme que Corellium ne fait aucun effort pour limiter l'utilisation de son produit à des recherches et des tests de bonne foi sur iOS. Apple pense plutôt que Corellium ne se soucie pas de la sécurité. Enfin, Corellium n’est pas la seule entreprise ou la seule entité à voir la plainte d’Apple comme un élément nuisible au travail des chercheurs en sécurité. Le fondateur d'iFixit, Kyle Wiens, le pense également.

iFixit est une plateforme en ligne inspirée par le modèle de l'économie circulaire. Le site est accessible et modifiable par tous. Il est basé sur un Wiki et détaille les étapes pour la réparation de matériels électroniques, mais aussi de l'électroménager ou automobile. Wiens a déclaré que « la plainte d'Apple est un dangereux procès DMCA ». Selon lui, si Apple gagne, « les dommages se répercuteront au-delà de la communauté de la sécurité et dans le monde de la réparation et de la maintenance ».

Sources : Première version de la plainte d’Apple (PDF), Deuxième version de la plainte d’Apple (PDF), Corellium

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Apple et Google accusés d’avoir aidé à « faire respecter un système d’apartheid des genres » en Arabie Saoudite après avoir hébergé une app pour traquer des femmes

Brevets d'Apple : les géants de l'IT appellent à réviser l'amende fixée à Samsung pour éviter d'autres procès dans l'industrie

Guerre des brevets : l'amende infligée à Samsung pour violation des brevets d'Apple devrait être revue à la baisse

[Stéphane le calme]

Apple assigne à comparaître L3Harris Technologies, une entreprise pesant 50 milliards de dollars,
pour qu'elle lui dise comment elle se sert de l'outil de hacking d'iPhone développé par Corellium

Apple poursuit actuellement en justice Corellium LLC, une société américaine basée en Floride qui fournit des outils de virtualisation iOS, pour violation de droit d’auteur et pour quelques autres raisons. Le procès qui dure depuis quelques mois maintenant a vu Corellium accuser à son tour Apple de vouloir contrôler la façon dont les recherches sur la sécurité sont menées afin de limiter ce que le public apprend sur les vulnérabilités de son système. Corellium a aussi allégué qu’Apple cherche à s’en prendre au Jailbreaking.

En août 2019, Apple a intenté une action en justice contre Corellium, une entreprise qui fournit les frameworks d'un simulateur iOS utilisé par les chercheurs en sécurité. Dans sa plainte, Apple a allégué que la société de logiciels a copié le système d'exploitation, l'interface utilisateur graphique et d'autres aspects des appareils sans autorisation. Elle accuse Corellium d'avoir agi sous prétexte d'aider à découvrir des bogues dans le système d'exploitation de l'iPhone, mais de vendre ensuite l'information « sur le marché libre au plus offrant ».

En réponse à la plainte d’Apple, Corellium a accusé Apple d’utiliser des « pratiques commerciales déloyales auxquelles le tribunal doit mettre fin ». Selon Corellium, Apple connaissait et encourageait son activité jusqu'à ce qu'il décide de proposer son propre produit concurrent. La première version de la poursuite d'Apple accusait Corellium de violation de droits d'auteur. Une nouvelle version a été déposée le 27 décembre et allègue à la fois la violation des droits d'auteur et le trafic illégal d'un produit utilisé pour contourner les mesures de sécurité en violation de la DMCA.

« La dernière plainte d'Apple devrait donner aux chercheurs en sécurité, aux développeurs d'applications et aux jailbreakers des raisons de s'inquiéter », a déclaré Amanda Gorton, PDG de Corellium, en réponse aux allégations d’Apple. « Nous sommes profondément déçus par la diabolisation persistante du Jailbreaking par Apple. Dans l'industrie, les développeurs et les chercheurs s'appuient sur les jailbreaks pour tester la sécurité de leurs applications et des applications de tiers, des tests qui ne peuvent être effectués sans un appareil jailbreaké », a-t-elle expliqué.

Selon Corellium, la plainte d'Apple suggère que quiconque fournit un outil qui permet à d'autres personnes de faire des jailbreaks et quiconque aide à créer un tel outil viole la DMCA. « Apple utilise cette affaire comme un ballon d'essai dans un nouvel angle pour réprimer les jailbreaks et cherche à établir un précédent pour éliminer les jailbreaks publics », a-t-elle ajouté. Cependant, Apple réplique en soutenant que les violations présumées de la DMCA par Corellium permettent à la fois des violations du copyright d'Apple et la propagation de vulnérabilités de sécurité.

Apple devient plus agressif

Les avocats d'Apple ne reculent pas pour essayer d'en savoir plus sur Corellium. En effet, Apple a assigné à comparaître la Santander Bank et l'entrepreneur de renseignement évalué à 50 milliards de dollars L3Harris Technologies pour obtenir des informations sur leur utilisation de Corellium.

Dans les deux assignations, Apple exige qu’Azimuth Security, filiale de L3Harris, et Santander fournissent des données comprenant : toutes les communications entre les entreprises et Corellium, des détails sur la façon dont ils utilisent la technologie de virtualisation de l'iPhone, toutes les communications internes sur l'utilisation de la technologie, tous les contrats et toutes les informations dont ils disposent sur le cofondateur de la startup Chris Wade.

Le fait qu'Apple tente de forcer deux grandes structures à partager des données sur leur utilisation de Corellium montre jusqu'où le fabricant d'iPhone est prêt à aller dans la lutte contre les entreprises qu'il considère comme une menace pour sa technologie protégée par le droit d'auteur.

Pour les avocats de l'entrepreneur de renseignements, des outils comme Corellium peuvent les aider à briser la sécurité d'Apple, potentiellement pour aider les agences de renseignement à surveiller les iPhone des cibles, mais aussi à identifier les faiblesses des téléphones et appareils du gouvernement.

Apple a fait appel à Azimuth Security, la filiale de L3Harris, qui est connue pour rechercher des vulnérabilités à la fois pour sécuriser et hacker des iPhone. Si Apple venait à obtenir ce qu'il veut, il pourrait alors avoir accès aux vulnérabilités de l'iPhone qu'il ne connaissait pas, ce qui pourrait entraîner des correctifs, mais également perturber les opérations de renseignement. Ce n’est donc pas une problématique simpliste.

Pour Santander, il n’est pas exclu qu’Apple ait émis l'hypothèse selon laquelle la branche britannique du géant bancaire espagnol était un client de Corellium, bien qu'elle se soit contentée de faire des tests de la technologie, selon des sources connaissant la relation des entreprises.

L'action en justice d'Apple contre Santander pourrait avoir été déclenchée par des tweets datant d'août 2019 du chef de la recherche de la banque, Dan Cuthbert, qui étaient très élogieux envers Corellium : « je vais juste dire ceci, @CorelliumHQ vous êtes évidemment tous d'une autre planète étant donné qu’EN AUCUN CAS ceci n’a pu être réalisé par des humains. Alien tech et moi-même accueillons nos nouveaux suzerains. C'est magique et ça va vraiment changer les choses ».

Dans sa citation à comparaître, Apple a pointé du doigt Daniel Cuthbert, chef de la recherche en cybersécurité au Royaume-Uni à Santander et expert réputé de l'industrie. Apple demande à la banque de fournir des documents concernant « l’utilisation et l’évaluation du produit Corellium Apple par Cuthbert ».

Santander a déclaré qu'il ne pouvait pas commenter les assignations, mais a confirmé qu'il n’était pas un client Corellium.

Pour l’avocat de Corellium, Apple est un tyran

« Apple tente d'intimider un partisan de Corellium en assignant son employeur, Santander, même si Santander n'a aucun lien avec Corellium », a déclaré David Hecht, l'avocat de Corellium et partenaire de Pierce Bainbridge, qui a décrit Apple comme étant un « tyran ».

« Apple tente de nuire aux activités et à la réputation de Corellium depuis l'échec de son acquisition de Corellium en 2018 et délivre désormais des assignations à témoigner au client de Corellium. Corellium va tout faire pour faire annuler les deux assignations ». Apple a reconnu dans des dossiers judiciaires avoir eu des discussions avec Corellium au sujet d'une acquisition tout au long de 2018, un an avant de poursuivre la société en août 2019.

«  Nous continuerons d'exposer les tactiques de mauvaise foi d'Apple et, en fin de compte, prévaudrons contre cela », a ajouté Hecht.

Apple : Corellium aurait « harcelé » Craig Federighi

De son côté, Apple a affirmé dans des lettres déposées auprès du tribunal que son directeur du développement logiciel et employé de longue date, Craig Federighi, avait été « harcelé » par les avocats de Corellium.

Les avocats d'Apple ont fait valoir que Federighi ne devrait pas être tenu de témoigner, car d'autres connaissent mieux ses relations avec Corellium, bien que le vice-président logiciel ait rencontré à plusieurs reprises Wade et ses collègues. Ils affirment que les tentatives de Corellium de signifier des documents juridiques à Federighi chez lui équivalaient à du harcèlement.

Selon ses propres mots, tels qu'ils ont été déposés auprès du tribunal, Federighi a déclaré : « Le samedi 8 février 2020, un huissier se trouvait à l'extérieur de mon domicile. Il est venu à ma porte d'entrée et a tenté de me signifier une assignation, mais ma femme l'a chassé ».

Sources : Daniel Cuthbert, Forbes

[MRSizok]

Les deux dernier paragraphes explique bien la situation. Apple tente d'étouffer sa réel motivation. Ils donnent des cartes à Consortium en voulant secouer le palmier dans tout les sens.

J'ai bien rigolé en lisant ça

toutes les communications entre les entreprises et Corellium, des détails sur la façon dont ils utilisent la technologie de virtualisation de l'iPhone, toutes les communications internes sur l'utilisation de la technologie, tous les contrats et toutes les informations dont ils disposent sur le cofondateur de la startup Chris Wade.

. Apple c'est faite ce que je dis pas ce que je fais. Il est ou Apple quand le FBI a besoin d'information sur un Iphone? xD

Pourquoi Consortium ne fait pas la même demande en inverse avec les gens qui on prit la décision de les poursuivres? Ils peuvent marchander. Consortium est meilleur qu'Apple en protection on dirait bien.

[Stéphane le calme]

Apple perd son procès contre Corellium, une société qui propose la virtualisation d'iOS utilisée par les chercheurs en sécurité.
Le fabricant d'iPhone l'a accusée d'avoir violé son droit d'auteur

Corellium, une société de recherche en sécurité poursuivie par Apple, a remporté une victoire juridique majeure contre le fabricant d'iPhone. Dans une décision qui a de vastes implications pour la recherche sur la sécurité de l'iPhone et la loi sur les droits d'auteur, un juge fédéral de Floride a rejeté les affirmations d'Apple selon lesquelles Corellium avait violé la loi sur les droits d'auteur avec son logiciel qui aide les chercheurs en sécurité à trouver des bogues et des failles de sécurité sur les produits Apple.

Corellium, cofondé en 2017 par Amanda Gorton et Chris Wade, a été une percée dans la recherche sur la sécurité, car il a donné à ses clients la possibilité d'exécuter des iPhone « virtuels » sur des ordinateurs de bureau. Les logiciels de Corellium rendent inutile l’utilisation d’iPhone physiques contenant iOS, le système d’exploitation mobile d’Apple.

En août 2019, Apple a intenté une action en justice contre Corellium, une entreprise qui fournit donc les frameworks d'un simulateur iOS utilisé par les chercheurs en sécurité. Dans sa plainte, Apple a allégué que la société de logiciels a copié le système d'exploitation, l'interface utilisateur graphique et d'autres aspects des appareils sans autorisation. Elle accuse Corellium d'avoir agi sous prétexte d'aider à découvrir des bogues dans le système d'exploitation de l'iPhone, mais de vendre ensuite l'information « sur le marché libre au plus offrant ».

En réponse à la plainte d’Apple, Corellium a accusé Apple d’utiliser des « pratiques commerciales déloyales auxquelles le tribunal doit mettre fin ». Selon Corellium, Apple connaissait et encourageait son activité jusqu'à ce qu'il décide de proposer son propre produit concurrent. La première version de la plainte d'Apple accusait Corellium de violation de droits d'auteur. Une nouvelle version a été déposée le 27 décembre 2019 et alléguait à la fois la violation des droits d'auteur et le trafic illégal d'un produit utilisé pour contourner les mesures de sécurité en violation de la DMCA.

En février, en réponse aux allégations d'Apple, Amanda Gorton, PDG de Corellium, a déclaré : « La dernière plainte d'Apple devrait donner aux chercheurs en sécurité, aux développeurs d'applications et aux jailbreakers des raisons de s'inquiéter ». Et d'ajouter : « Nous sommes profondément déçus par la diabolisation persistante du Jailbreaking par Apple. Dans l'industrie, les développeurs et les chercheurs s'appuient sur les jailbreaks pour tester la sécurité de leurs applications et des applications de tiers, des tests qui ne peuvent être effectués sans un appareil jailbreaké ».

Selon Corellium, la plainte d'Apple suggère que quiconque fournit un outil qui permet à d'autres personnes de faire des jailbreaks et quiconque aide à créer un tel outil viole la DMCA. « Apple utilise cette affaire comme un ballon d'essai dans un nouvel angle pour réprimer les jailbreaks et cherche à établir un précédent pour éliminer les jailbreaks publics », a-t-elle ajouté. Cependant, Apple a répliqué en soutenant que les violations présumées de la DMCA par Corellium permettent à la fois des violations du copyright d'Apple et la propagation de vulnérabilités de sécurité.

La création par Corellium d’iPhone virtuels n’était pas une violation du droit d’auteur

Le juge de l’affaire a statué que la création par Corellium d’iPhone virtuels n’était pas une violation du droit d’auteur, en partie parce que ce système avait été conçu pour améliorer la sécurité de tous les utilisateurs d’iPhone. Corellium ne créait pas un produit concurrent pour les consommateurs, il s'agissait plutôt d'un outil de recherche pour un nombre relativement restreint de clients.

David L. Hecht, fondateur du cabinet d'avocats Hecht Partners et co-conseil de Corellium, a déclaré dans un communiqué : « Nous sommes très heureux de la décision de la Cour sur l'utilisation équitable et sommes fiers de la force et de la détermination dont nos clients de Corellium ont fait preuve dans cette bataille importante. La Cour a affirmé le solide équilibre qu'offrent l'utilisation équitable et la portée de la protection du droit d'auteur sur d'autres marchés, ce qui est une énorme victoire pour le secteur de la recherche sur la sécurité en particulier ».

Durant le procès, Apple a fait valoir que les produits de Corellium pourraient être dangereux s'ils tombaient entre de mauvaises mains, car les failles de sécurité découvertes par Corellium pourraient être utilisées pour pirater des iPhone. Apple a également fait valoir que Corellium vend son produit sans discernement, une affirmation que Corellium a rejetée.

Le juge Rodney Smith a qualifié l'argument d'Apple sur ces affirmations de « déroutant, voire malhonnête ». En effet, il a été porté à la connaissance du juge que Corellium utilisait un processus de vérification avant de vendre ses produits aux clients.

Apple a initialement tenté d'acquérir Corellium en 2018, selon les archives judiciaires. Lorsque les pourparlers d'acquisition se sont arrêtés, Apple a poursuivi Corellium l'année dernière, affirmant que ses iPhone virtuels, qui ne contiennent que les fonctions simples nécessaires à la recherche sur la sécurité, constituent une violation de la loi sur le droit d'auteur. Apple a également allégué que Corellium avait contourné les mesures de sécurité d'Apple pour créer le logiciel, violant ainsi le Digital Millennium Copyright Act. Cette affirmation n'a pas été rejetée.

« En prenant en compte tous les facteurs nécessaires, la Cour conclut que Corellium s’est acquitté de son fardeau d’établir une utilisation équitable », a écrit Smith dans son verdict. « Ainsi, son utilisation d'iOS en relation avec le produit Corellium est autorisée ».

Des sociétés telles qu'Apple ont généralement prévalu dans des cas de droits d'auteur similaires dans le passé, et la décision en a surpris plus d'un.

Pourtant, au cours de l'année écoulée, les grandes enseignes de la technologie ont été soumises à un examen plus rigoureux alors que les régulateurs et les législateurs sondaient le comportement de l'industrie. Les dirigeants de Google, Facebook, Apple et Amazon ont été confrontés à des questions sur le comportement anticoncurrentiel devant le Congrès, et Google et Facebook ont été accusés par les régulateurs et les États pour ces motifs.

Apple, pour sa défense, a déclaré que la sécurité et la confidentialité des utilisateurs étaient ses principales préoccupations.

Une décision saluée par la communauté des chercheurs en sécurité

De nombreux membres de la communauté de la sécurité ont salué la décision du juge de Floride.

« Il s'agit d'une victoire majeure pour les chercheurs en sécurité qui cherchent à rendre les appareils Apple plus sûrs pour le monde », a déclaré Will Strafach, un chercheur en sécurité. « C'est un signal très positif qui montre qu'il n'est peut-être pas si facile pour Apple d'essayer d'intimider ceux qui font des choses qu'Apple n'approuve pas. »

L'approche d'Apple en matière de sécurité iPhone a longtemps été critiquée par certains chercheurs, qui estiment que l'entreprise protège trop ses logiciels. Le système d'exploitation iOS empêche les chercheurs de scruter sous le capot pour rechercher des bogues et autres vulnérabilités sans sonder au préalable le téléphone avec des outils spéciaux.

Dans les premières années de l’iPhone, il était plus facile de contourner les restrictions d’Apple. Désormais, les outils pour sonder iOS sont étroitement surveillés par les chercheurs.

Matthew Green, professeur agrégé d'informatique à l'Université Johns Hopkins, a déclaré qu'une grande partie de la recherche sur la sécurité sur iOS est effectuée par des entités bien financées et disposant du temps et des ressources nécessaires pour contourner les restrictions d'Apple. « Ces gens ont tendance à ne pas être les gentils », a-t-il déclaré, faisant référence aux entreprises obscures qui vendent des cyberarmes au plus offrant. Il a déclaré que des outils tels que Corellium « sont ce qui abaisse la barre et permet aux petites entreprises et aux gens potentiellement bons de se lancer dans les produits Apple afin qu'ils puissent faire leur travail. »

Green a évoqué des organisations à but non lucratif telles que Citizen Lab, qui aide les journalistes et autres personnes ciblées par ces groupes. Citizen Lab a récemment découvert une attaque présumée contre des iPhone appartenant à des journalistes d'Al Jazeera.

Green a déclaré qu'il était heureux que Corellium ait remporté le procès face à la revendication de droits d'auteur d'Apple, car la loi sur les droits d'auteur, a-t-il dit, peut être utilisée par les grandes entreprises pour « étouffer » la recherche en matière de sécurité.

Pourtant, Dan Guido, PDG de la société de sécurité Trail of bits, qui aide les particuliers et les entreprises de haut niveau à se protéger des attaques ciblées sur iPhone, s'est demandé si des outils tels que Corellium pourraient vraiment améliorer la sécurité des iPhone. Pour lui, Corellium pourrait être un outil pour « changer la perception du public » et faire pression sur les entreprises pour qu'elles poursuivent leurs recherches sur la sécurité.

Alexander Urbelis, associé du Blackstone Law Group à New York, a déclaré que la décision du tribunal pourrait conduire à plus d'innovation dans la recherche sur la cybersécurité.

« Cette décision permet aux chercheurs en cybersécurité de virtualiser et de tester des composants distincts de logiciels tiers à la recherche de vulnérabilités de sécurité, ce qui fait défaut dans la communauté de la sécurité en partie à cause de la peur de la responsabilité juridique », a-t-il déclaré. Par exemple, Urbelis, qui était autrefois le chef de la sécurité par intérim de la NFL, a déclaré que « la chasse aux vulnérabilités sans entrave » pourrait aider à arrêter les grands piratages de la « chaîne d'approvisionnement » tels que celui qui a affecté Solar Winds. Ce piratage récemment découvert aurait donné aux pirates russes accès à une vaste mine de données du gouvernement américain.

Sources : décision de justice, Citizen Lab

Et vous ?

Quelle lecture faites-vous de cette décision ?

[Bill Fassinou]

Apple vient de perdre son procès visant à interdire les machines virtuelles iOS d'entreprises tierces
un tribunal a jugé que les machines virtuelles iOS pour la recherche sont légitimes et légales

Apple vient de connaître un nouveau revers dans sa lutte acharnée contre les machines virtuelles iOS. Après une bataille de plusieurs années avec Corellium, Apple a été informée par la justice américaine que les machines virtuelles iOS de tiers sont en effet légitimes et légales et qu'il n'y a rien à faire pour y mettre fin. L'entreprise n'a d'autres choix que de faire avec. Les allégations d'Apple selon lesquelles les machines virtuelles iOS enfreignent ses droits d'auteur et nuisent à la sécurité de l'écosystème iOS ont été rejetées par la Cour d'appel des États-Unis pour le onzième circuit. Le tribunal estime que ces produits tiers permettent également de faire avancer la recherche.

Apple est aux prises avec Corellium LLC, une entreprise américaine basée en Floride qui fournit des outils de virtualisation pour iOS, depuis au moins 2019. Apple poursuit la société pour violation de droit d’auteur et pour d'autres raisons. De son côté, Corellium a accusé Apple de vouloir contrôler la façon dont les recherches sur la sécurité sont menées afin de limiter ce que le public apprend sur les failles de son système. Corellium a aussi allégué qu’Apple veut supprimer le jailbreaking, procédé consistant à débrider un appareil électronique pour supprimer les restrictions et avoir un accès complet à la racine (root) du système d'exploitation et aux fonctionnalités.

Les logiciels de Corellium rendent inutile l’utilisation d’iPhone physique contenant iOS, le système d’exploitation mobile d’Apple. Les développeurs et les chercheurs peuvent ainsi s'affranchir de certains frais, comme le coût pour acquérir un matériel Apple, dans le cadre de leurs travaux. Les deux entreprises ont failli parvenir à un accord début 2021, mais le litige s'est poursuivi. Un juge fédéral de Floride a rejeté les allégations de la firme de Cupertino selon lesquelles Corellium avait violé la loi sur les droits d'auteur avec ses logiciels qui aident les chercheurs à trouver des bogues et des vulnérabilités sur les produits iOS. Mais Apple a fait appel de la décision.

Cependant, Apple a essuyé une défaite majeure cette semaine, car un tribunal américain a jugé que Corellium ne violait aucun droit d'auteur avec ses produits. La Cour d'appel américaine du onzième circuit a statué lundi que le simulateur CORSEC de Corellium était protégé par la "doctrine de l'utilisation équitable" de la loi sur le droit d'auteur. Cette doctrine garantit que les œuvres protégées par le droit d'auteur peuvent être reproduites dans certaines situations. Dans le cadre du procès, Corellium a fait valoir que ses machines virtuelles exécutant iOS servent uniquement à des fins de recherche en matière de sécurité, et le tribunal est d'accord avec l'entreprise.

Un panel de trois juges a déclaré que "les produits fournis par Corellium favorisent le progrès scientifique en permettant la recherche sur la sécurité dans des systèmes d'exploitation importants". Le tribunal a ajouté qu'iOS est un logiciel d'exploitation fonctionnel qui n'entre pas dans le champ d'application du droit d'auteur. De ce fait, Corellium peut continuer à fournir des machines virtuelles iOS à ses clients, et Apple ne pourra pas poursuivre l'entreprise pour cela. Le jugement rendu lundi par la Cour d'appel rejoint la décision prise par le juge fédéral de Floride fin 2020. Ce dernier avait déclaré à l'époque que Corellium faisait un usage loyal du code iOS.

Généralement, le seul moyen pour un consommateur de mettre la main sur iOS est d'acheter du matériel Apple coûteux, ce qui est également une exigence pour les développeurs. Toutefois, certains craignent que les développeurs puissent également utiliser les machines virtuelles de Corellium, axées sur la sécurité, pour tester des applications sans avoir à acquérir le matériel adéquat. Certains rapports sur le sujet indiquent qu'un élément de vendetta pourrait être à l'origine de l'action en justice, Apple ayant échoué à acquérir la société en 2018. Le rachat aurait permis à Apple d'éliminer la concurrence, une tactique très souvent utilisée par les Big Tech.

Dans sa plainte contre Apple en 2020, Corellium a accusé le fabricant de l'iPhone d’utiliser des « pratiques commerciales déloyales auxquelles le tribunal doit mettre fin ». Selon Corellium, la firme de Cupertino connaissait et encourageait son activité (notamment son logiciel de virtualisation) jusqu'à ce qu'elle décide de proposer son propre produit concurrent. La première version de la plainte d'Apple accusait Corellium de violation de droits d'auteur. Une nouvelle version déposée le 27 décembre 2019 allègue à la fois la violation de droit d'auteur et le trafic illégal d'un produit utilisé pour contourner les mesures de sécurité en violation de la DMCA.

La DMCA (Digital Millennium Copyright Act) est une loi américaine adoptée en 1998. L’objectif est de fournir un moyen de lutte contre les violations du droit d'auteur. Il vise à établir une législation de la propriété intellectuelle adaptée à l'ère numérique. Apple a fait valoir que Corellium donne aux utilisateurs la possibilité d'utiliser iOS à des fins bénignes ou malveillantes. Mais Corellium n’est pas d’accord avec la version d’Apple et l’entreprise a accusé Apple de vouloir nuire à la recherche, mais aussi de vouloir utiliser la DMCA pour supprimer le jailbreak. Dans ses allégations, Apple a également affirmé que Corellium ne se souciait pas vraiment de la sécurité.

Apple estime que Corellium ne fait aucun effort pour limiter l'utilisation de son produit à des recherches et des tests de bonne foi sur iOS. Corellium est soutenu par de nombreux acteurs de l'industrie qui luttent depuis de nombreuses années pour qu'Apple ouvre un peu plus l'écosystème iOS pour faciliter le travail des chercheurs, des développeurs et des réparateurs indépendants. Le fondateur d'iFixit, Kyle Wiens, a déclaré à l'époque : « la plainte d'Apple est un dangereux procès DMCA ». Selon lui, si Apple gagne, « les dommages se répercuteront au-delà de la communauté de la sécurité et dans le monde de la réparation et de la maintenance ».

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la décision de la Cour d'appel américaine ?
Quels impacts ce jugement pourrait-il avoir sur l'écosystème iOS à l'avenir ?
Que pensez-vous des machines virtuelles iOS tierces ? Sont-elles légales selon vous ?

Voir aussi

Apple cible le Jailbreaking dans un procès contre Corellium, une société de virtualisation iOS pour violation de droit d’auteur

Apple perd son procès contre Corellium, une société qui propose la virtualisation d'iOS utilisée par les chercheurs en sécurité. Le fabricant d'iPhone l'a accusé d'avoir violé son droit d'auteur

Apple assigne à comparaître L3Harris Technologies, une entreprise pesant 50 milliards de dollars, pour qu'elle lui dise comment elle se sert de l'outil de hacking d'iPhone développé par Corellium