Mise à jour du 25 juin : Apple dément catégoriquement le hack effectué par Matthew Hickey… sans vraiment convaincre. Suite à la publication de la vidéo montrant le procédé, Apple a fait une déclaration pour le moins laconique à iMore : « Le récent rapport à propos du contournement du mot de passe sur un iPhone était une erreur, et le résultat d’un essai incorrect ». Mauvaise manipulation ou pas, le hacker a pourtant bel et bien réussi à y parvenir.
Article original du 23 juin : Depuis iOS 8, Apple a mis les bouchées doubles pour nous permettre de sécuriser l’accès à notre iPhone ou iPad. On peut ainsi choisir un mot de passe à 6 chiffres, sans oublier que le contenu de l’appareil est désormais chiffré. Par ailleurs, les utilisateurs les plus précautionneux peuvent demander à ce que le contenu de leur smartphone soit effacé si de trop nombreuses tentatives de saisie d’un code erroné sont effectuées. Des mesures qui rendent, de fait, très difficiles l’accès à l’appareil si son propriétaire ne le souhaite pas. Même si les forces de l’ordre américaine semble avoir trouvé des hackers capables de contourner ces protections.
Contourner l’effacement de l’iPhone et les codes
Néanmoins, iOS paraissait plutôt tenir de la forteresse jusqu’à hier, 22 juin. Matthew Hickey, un chercheur en sécurité et fondateur de la société Hacker House, a annoncé sur Twitter avoir réussi à contourner la limite de dix tentatives et avoir pu saisir autant de codes qu’il le souhaitait, rouvrant tout grand la porte aux attaques en force brute. L’exploit est d’autant plus remarquable et inquiétant que l’expert en sécurité indique avoir procédé de la sorte avec des versions très récentes d’iOS, jusqu’à la version 11.3, avant dernière en date.
A nos confrères de ZDnet US, Matthew Hickey déclarait qu’un « attaquant a simplement besoin d’accéder à un iPhone allumé, verrouillé, et d’avoir un câble Lightning ». Trois prérequis plutôt simples à satisfaire.
Le hacker a donc réussi à court-circuiter la « secure enclave ». C’est dans cette zone matérielle très protégée et inaccessible des iPhone récents (depuis l’iPhone 5s) qu’est effectué le compte du nombre de tentatives effectuées. C’est ce décompte qui interdit en théorie les attaques en force brute qui consistent à essayer tous les codes possibles et imaginables jusqu’à trouver le bon.
La porte ouverte aux attaques en force brute
Il semblerait en effet que lorsqu’un iPhone ou un iPad est connecté à un ordinateur, une personne mal intentionnée puisse utiliser le clavier de la machine pour initier une requête prioritaire qui interrompt tout autre processus. Grâce à cette découverte, il a pu non pas envoyer les essais de code les uns après les autres, mais tous en une seule fois, ne déclenchant ainsi pas les sécurités d’iOS. Cette longue file de codes n’est alors considérée que comme une seule routine prioritaire qui empêche l’effacement des données.
La méthode n’est pas parfaite. Pour qu’elle fonctionne, l’appareil doit être allumé, car même en veille, plus de processus sont exécutés. Plus rassurant, le processus est extrêmement lent. Si les codes sont envoyés comme une seule routine, entre trois et cinq secondes séparent chaque soumission de mot de passe. Il faudrait ainsi plusieurs semaines pour trouver les six chiffres qui forment la longueur par défaut sous iOS 11 de votre mot de passe.
Matthew Hickey assure que cette faille n’a pas été difficile à trouver, d’autres pourraient également la découvrir. L’expert a toutefois envoyé sa trouvaille à Apple pour que le géant puisse essayer de la corriger.
Mais cette faille de sécurité pourrait bien être déjà du passé avec iOS 12, à venir à l’automne. Dans sa prochaine mise à jour majeure, Apple a prévu d’activer un mode USB restreint. Il empêchera l’utilisation d’un câble USB pour autre chose que le chargement de l’appareil si l’iPhone est resté verrouillé plus d’une heure.
Quoi qu’il en soit, cette découverte ne fait que souligner l’importance de verrouiller son smartphone ou sa tablette avec un code élaboré et le plus long possible. D’autant qu’avec Touch ID ou Face ID, il n’est pas nécessaire de le saisir à chaque fois qu’on veut accéder à son appareil.
Source :
ZDNet US
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.