[Vidéo] iOS 7 : la preuve de l’incohérence de la sécurité

Sur le papier, tous les mécanismes de sécurité implémentés par Apple dans son nouveau système d’exploitation mobile, iOS 7, sont plus que rassurants. Une vidéo prouve toute l’incohérence de ces protections.

Que cela soit le lecteur d’empreintes digitales de l’iPhone 5S, la possibilité d’effacer à distance les données de son appareil, de le localiser en cas de vol ou de perte, Apple semble avoir placé la sécurité de ses smartphones au cœur de ses préoccupations. Mais la réalité est toute autre, comme le prouve une vidéo réalisée par l’équipe de SRLabs. Prendre possession d’un iPhone semble très simple, même s’il faut quelques compétences un peu poussées…

Pour commencer, le voleur d’iPhone doit activer le mode Avion du téléphone. Ceci étant fait, il peut essayer de déverrouiller l’appareil en utilisant les codes les plus courants, ou simplement créer une fausse empreinte digitale avec de la colle au bois et des photos d’empreintes trouvées sur le smartphone.

Pendant ce temps, confiante dans les services Apple, la victime se rend sur le service « Localiser mon iPhone » pour demander l’effacement à distance des données de son appareil.

Mais le voleur, ne s’arrête pas, une fois l’appareil déverrouillé, il se rend dans les paramètres iCloud pour récupérer l’identifiant Apple de la malheureuse victime. Ainsi équipé, il se rend sur le site d’Apple pour réinitialiser le mot de passe.

Pour ce faire, il suffit simplement de laisser l’iPhone se connecter à Internet, assez longtemps pour récupérer l’email de réinitialisation du mot de passe, mais pas suffisamment longtemps pour que l’effacement de l’appareil. Ceci étant fait, le voleur réactive le mode Avion, utilise le lien reçu dans un navigateur de son ordinateur pour prendre possession des comptes iCloud, iTunes et autres services rattachés à cet identifiant. Le voleur peut ainsi se rendre sur le service « Localiser mon iPhone » pour retirer l’appareil de la liste des appareils de la victime, ce qui lui va permettre de l’activer pour un autre utilisateur.

Heureusement, l’iPhone est marqué comme étant à effacer, il sera donc effacé s’il est connecté à internet.

Justement, l’étape suivante du voleur consiste à connecter l’appareil volé à internet pour attendre que l’appareil soit complètement effacé… avant de le restaurer avec une sauvegarde du compte de la victime. Dès lors le voleur a un accès complet à toutes les données contenues dans le téléphone, et cela malgré toutes les protections mises en place par Apple. Cela a de quoi faire peur !

Histoire de ne pas s’arrêter en si bon chemin, SRLabs complète sa démonstration par quelques recommandations à Apple. Il s’agirait par exemple de :

  • Empêcher l’accès au mode Avion depuis l’écran verrouillé sans demander un code PIN, après être passé en mode Avion ou après avoir retiré la carte SIM ;
  • Empêcher les utilisateurs de stocker des emails de réinitialisation de mot de passe sur un iPhone ;
  • Mieux conseiller les utilisateurs au niveau de la révocation des privilèges du téléphone en cas de perte ou de vol ;
  • Ne pas afficher la façon dont l’appareil est protégé sur l’écran de verrouillage ;
  • Corriger iOS pour que l’appareil commence par s’effacer, si nécessaire, avant de pouvoir récupérer des emails.

Pour la sécurité des iPhone, il ne reste plus qu’à espérer qu’Apple applique rapidement tout ou partie de ces recommandations.

Comment utiliser un iPhone 5S volé, désactivé et effacé à distance !

Votes
[Total : 0 votes en moyenne : 0]
PARTAGER
Article précédentJailbreak – iOS 7 : attention à ne pas aller trop vite !
Article suivantFacebook : plus de possibilités de se « cacher »
Une fille dans l'informatique était mal vue à l'époque de mes études. C'est pour cette raison que l'on m'a cantonné à des rôles secondaires lors des travaux de groupe, notamment celui de centralisateur des informations. Ce rôle central, au final crucial, m'a plu. C'est comme cela que je suis devenue chef de projet. Plus tard, cette attirance pour l'information m'a poussé à suivre des cours de journalisme. Comme j'avais la propension de centraliser l'actualité technologique, un ami m'a dit un jour : «Emilie, tu peux le faire ». C'est comme cela que je me suis retrouvée embarquée dans l'aventure de linformatique.org. Vu mon boulot, ce sont surtout les nouvelles technologies qui m'intéressent le plus.

1 COMMENTAIRE

  1. Merci pour cet article. Comme quoi, ces appareils ne font pas exception. Tout appareil connecté peut faire l’objet d’une attaque. La prudence reste de mise quant à leur utilisation et ce sans distinction de marque ni même de technologie.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here