La sécurité de l’iPhone, même verrouillé, peut être déjouée

Sécurité de l’iPhone: Un expert en sécurité a découvert qu’il était possible de contourner la limite de 10 saisies du code de déverrouillage à 6 chiffres de l’iPhone, et donc de recourir à une technique classique de force brute pour trouver le fameux mot de passe.

Par Alexandre PAULSON, le lundi 25 juin 2018

L’auteur de cette faille l’a signalée à Apple, qui dément formellement qu’elle soit exploitable.

Inviolable, l’iPhone ?

Apple, qui fait grand cas de la sécurité de ses usagers, met volontiers en avant ses efforts pour compliquer la tâche des hackers :

  • Contenus de l’appareil chiffrés, code de déverrouillage à 6 chiffres, possibilité également de programmer l’effacement des données.

On peut aussi se retrouver avec un iPhone verrouillé pour des années si quelqu’un entre trop de fois à la suite un code erroné.

Délocker l’iPhone est une opération difficile, et il existe peu d’outils pour y parvenir. Mais un chercheur en cybersécurité a peut-être bien trouvé le talon d’Achille d’iOS.

Matthew Hickey, cofondateur de l’agence Hacker House, annonçait:

  • Vendredi 22 juin sur Twitter avoir trouvé la technique pour contourner la limite de 10 tentatives de saisie du code de déverrouillage.

Et sa méthode frappe par sa simplicité.

Apple iOS "Erase data" UI glitch from Hacker Fantastic on Vimeo.

La parade : le mode USB restreint

Il suffirait, à en croire Matthew Hickey, d’avoir physiquement accès à l’appareil allumé et verrouillé (pas d’attaque à distance, donc). Et de connecter l’iPhone à un ordinateur avec le câble Lightning.

Ainsi branché, on envoie, avec le clavier physique du PC, une requête d’interruption qui court-circuite l’enclave de sécurité. Celle-ci étant chargée de compter les tentatives de saisie du code à 6 chiffres.

A partir de là, il devient possible d’appliquer des méthodes dites de force brute, qui permettent de trouver le fameux code en multipliant à l’infini les tentatives.

La technique de Hickey est toutefois très lente. Puisqu’il faut respecter un délai de 3 à 5 secondes entre chaque code testé. Hickey l’a tout de même signalée à Apple, qui nie son efficacité.

Elle pourrait être définitivement obsolète avec iOS 12 prévu à la fin de l’année : la prochaine mise à jour d’Apple devrait en effet désactiver l’USB de l’iPhone (sauf pour la charge) au delà d’une heure d’inactivité.

Ce qui limitera considérablement les chances de délocker l’appareil dans un délai aussi court…

Voir aussi:

Source: Clubic

S'il vous plaît suivez et aimez-nous:



One thought on “La sécurité de l’iPhone, même verrouillé, peut être déjouée

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Vous aimez ce blog? S'il vous plaît passez le mot :)