Des chercheurs en sécurité ont découvert une faille zero-day dans iOS qui permet de faire crasher en boucle les iPhone et les iPad.
C’est à l’occasion de la conférence RSA 2015, qui se tient actuellement à San Francisco, que les chercheurs en sécurité Adi Sharabani et Yai Amit ont dévoilé une faille zero-day qui affecte iOS 8. Située dans la gestion des connexions SSL, l’exploitation de cette vulnérabilité permet de faire planter indéfiniment un appareil Apple.
Ils ont découvert que l’envoi d’un certificat SSL un peu trafiqué fait planter le système. On combinant cette faille à une tactique d’usurpation, en créant un faux réseau Wi-Fi qui utilise un identifiant SSID générique qui pourrait susciter des connexions automatiques, par exemple les réseaux Wi-Fi des opérateurs, des gares, des chaînes de restauration, etc., un terminal iOS configuré pour se connecter automatiquement qui entrerait dans une telle zone planterait immédiatement, et le referait en boucle comme le montre cette vidéo.
C’est à cause de cette notion de zone que les chercheurs ont baptisé cette faille « No iOS Zone ».
Vu que cette faille n’est pas encore totalement corrigée par Apple, les chercheurs n’ont pas donné de détails techniques au sujet du bug SSL. Si « la version 8.3 semble résoudre certains problèmes », tout n’est pas encore corrigé.
Pour les chercheurs, leur prochain objectif va être de faire planter les terminaux iOS non pas au travers d’un faux réseau Wi-Fi, mais en interceptant les requêtes HTTP et en redirigeant l’utilisateur vers un faux site.
* Suivez Linformatique.org sur Facebook et sur Twitter pour être informé(e) de toutes les actualités, des tests et des bons plans.
