Depuis que les terminaux d'Apple se vendent comme des petits pains, pirates et chercheurs trouvent dans les appareils de la pomme un nouveau terrain de jeu économiquement viable.
Dans un communiqué de presse diffusé le 9 février 2011, des chercheurs allemands de l'institut Fraunhofer déclarent pouvoir pirater tout iPhone ou iPad et voler les most de passe qui y sont stockés, même si celui-ci est verrouillé et même s'il n'est pas jailbreaké.
La vulnérabilité, qui se trouverait dans le système de gestion des mots de passe, n'est exploitable que si l'attaquant à un accès physique au téléphone. Cela reste tout de même une faille critique en cas de vol, ou même en cas d'oubli sur une table au boulot : il faut environ 6 minutes pour obtenir le sésame. Preuve en video :
6 minutes, c'est le temps d'une pause clope ou de l'appel d'un malin qui vous a emprunté votre portable car "il n'avait plus de batterie".
L'attaque se déroule en cinq temps :
- le hacker se branche avec un ordinateur sur l'iPhone/Pad et le jailbreak à sa sauce
- une fois l'exploit lancé et installé, il a accès au système de fichier
- au lieu de rentrer le mot de passe, l'ordinateur injecte un script dans l'Apple
- le script est lancé, dans le but de dévoiler les mots de passe
- les mots de passe de messageries, connexion à un hot-spot, ... s'affichent en clair
Le plus fort dans tout ça, c'est que le mot de passe principal de l'iPhone n'est même pas nécessaire pour avoir accès à tous les autres secrets!
Cela signifie donc que le système de chiffrement des données de l'iPhone ne dépend probablement pas du mot de passe principal.
"Si l'iPhone est utilisé dans le cadre professionnel, alors la sécurité du réseau de la société peut être également impacté". Mots de passe de l'intranet, clé pour une connexion au réseau interne via VPN, ...
Il y a encore un peu de temps avant que cet exploit fuite chez les blackhats (ou peut-être l'avaient-ils déjà découvert), mais à l'avenir lors de la perte d'un smartphone il faudra probablement songer à changer tous ses mots de passe : convergence des réseaux et services oblige!
Le mirage de l'invincibilité d'un terminal, quelque soit son fabricant ou système d'exploitation, n'est plus à démontrer.
Lire le compte rendu technique.
Enregistrer un commentaire