Sur le papier, tous les mécanismes de sécurité implémentés par Apple dans son nouveau système d’exploitation mobile, iOS 7, sont plus que rassurants. Une vidéo prouve toute l’incohérence de ces protections.
Que cela soit le lecteur d’empreintes digitales de l’iPhone 5S, la possibilité d’effacer à distance les données de son appareil, de le localiser en cas de vol ou de perte, Apple semble avoir placé la sécurité de ses smartphones au cœur de ses préoccupations. Mais la réalité est toute autre, comme le prouve une vidéo réalisée par l’équipe de SRLabs. Prendre possession d’un iPhone semble très simple, même s’il faut quelques compétences un peu poussées…
Pour commencer, le voleur d’iPhone doit activer le mode Avion du téléphone. Ceci étant fait, il peut essayer de déverrouiller l’appareil en utilisant les codes les plus courants, ou simplement créer une fausse empreinte digitale avec de la colle au bois et des photos d’empreintes trouvées sur le smartphone.
Pendant ce temps, confiante dans les services Apple, la victime se rend sur le service « Localiser mon iPhone » pour demander l’effacement à distance des données de son appareil.
Mais le voleur, ne s’arrête pas, une fois l’appareil déverrouillé, il se rend dans les paramètres iCloud pour récupérer l’identifiant Apple de la malheureuse victime. Ainsi équipé, il se rend sur le site d’Apple pour réinitialiser le mot de passe.
Pour ce faire, il suffit simplement de laisser l’iPhone se connecter à Internet, assez longtemps pour récupérer l’email de réinitialisation du mot de passe, mais pas suffisamment longtemps pour que l’effacement de l’appareil. Ceci étant fait, le voleur réactive le mode Avion, utilise le lien reçu dans un navigateur de son ordinateur pour prendre possession des comptes iCloud, iTunes et autres services rattachés à cet identifiant. Le voleur peut ainsi se rendre sur le service « Localiser mon iPhone » pour retirer l’appareil de la liste des appareils de la victime, ce qui lui va permettre de l’activer pour un autre utilisateur.
Heureusement, l’iPhone est marqué comme étant à effacer, il sera donc effacé s’il est connecté à internet.
Justement, l’étape suivante du voleur consiste à connecter l’appareil volé à internet pour attendre que l’appareil soit complètement effacé… avant de le restaurer avec une sauvegarde du compte de la victime. Dès lors le voleur a un accès complet à toutes les données contenues dans le téléphone, et cela malgré toutes les protections mises en place par Apple. Cela a de quoi faire peur !
Histoire de ne pas s’arrêter en si bon chemin, SRLabs complète sa démonstration par quelques recommandations à Apple. Il s’agirait par exemple de :
- Empêcher l’accès au mode Avion depuis l’écran verrouillé sans demander un code PIN, après être passé en mode Avion ou après avoir retiré la carte SIM ;
- Empêcher les utilisateurs de stocker des emails de réinitialisation de mot de passe sur un iPhone ;
- Mieux conseiller les utilisateurs au niveau de la révocation des privilèges du téléphone en cas de perte ou de vol ;
- Ne pas afficher la façon dont l’appareil est protégé sur l’écran de verrouillage ;
- Corriger iOS pour que l’appareil commence par s’effacer, si nécessaire, avant de pouvoir récupérer des emails.
Pour la sécurité des iPhone, il ne reste plus qu’à espérer qu’Apple applique rapidement tout ou partie de ces recommandations.
Comment utiliser un iPhone 5S volé, désactivé et effacé à distance !
Si cet article a captivé votre intérêt, vous trouverez certainement les prochains tout aussi passionnants. Assurez-vous de ne rien manquer en vous abonnant à linformatique.org sur Google News. Suivez-nous aussi sur Facebook et Twitter.
Merci pour cet article. Comme quoi, ces appareils ne font pas exception. Tout appareil connecté peut faire l’objet d’une attaque. La prudence reste de mise quant à leur utilisation et ce sans distinction de marque ni même de technologie.