https://youtube.com/watch?v=LXZ6yUsn0v8%3Ffeature%3Dplayer_detailpage
Mauvaise nouvelle pour la police de New York, qui avait fait la promotion d’iOS 7 en vantant les nouveaux dispositifs anti-vol proposés par Apple. Le nouveau système d’exploitation mobile de la firme de Cupertino permet aux personnes dont l’iPhone est volé de verrouiller sa réactivation et d’effacer le contenu de l’iPhone à distance, pour le rendre en principe inutilisable et donc in-revendable. Mais SRLabs a détaillé une technique simple à mettre à oeuvre, par laquelle les voleurs peuvent empêcher la désactivation du téléphone, et prendre le contrôle de l’iPhone, et plus si affinités.
La technique, illustrée en détails sous la vidéo ci-dessus, est d’une simplicité déconcertante, et mélange astuces techniques et social engineering.
Les hackers ont en effet constaté qu’Apple ne demandait pas de déverrouiller l’écran de l’iPhone pour accéder au « mode avion » sous iOS 7. Dans un premier temps, le voleur peut donc empêcher que le téléphone reçoive l’ordre de désactivation et de suppression, en activant le mode avion. Puis, la prise de contrôle de l’iPhone 5s est facilitée par sa nouvelle « sécurité », le lecteur d’empreintes. Avec Touch ID, le « mot de passe » est inscrit sur l’écran tactile, comme s’il était marqué sur un post-it. Pour peu qu’elle soit assez lisible, il suffit donc de prendre l’empreinte sur l’iPhone 5s, et de réaliser une copie en relief avec les moyens du bord.
Ensuite, l’objectif du hacker est de se déclarer nouveau propriétaire de l’appareil, avant qu’il soit effacé. Là, un facteur « chance » intervient. Comme l’indique SRLabs, dans beaucoup de cas, l’adresse e-mail déclarée pour le renvoi du mot de passe Apple ID sera une adresse dont les courriers sont relevés sur l’iPhone. Il faut donc se rendre dans les paramètres du compte sur l’iPhone pour découvrir l’Apple ID, et se rendre sur le site d’Apple pour demander à ce qu’il soit renvoyé. Mais le mode avion étant activé, il faut se connecter au réseau pour collecter les e-mails et recevoir le nouveau mot de passe.
Or, Apple ne traite pas les ordres d’effacement en priorité lorsque le Wifi est réactivé sur l’iPhone. Avec un peu de chance — mais SRLabs dit avoir confirmé la chose 5 fois de suite, les mails sont donc récupérés sur l’iPhone avant que l’ordre d’effacement soit reçu. Il faut alors couper le Wifi très vite, et la suite coule de source. Une fois le mail de changement de mot de passe reçu, le voleur a accès au compte Apple ID, et peut dés-associer l’iPhone pour changer le propriétaire, ou même restaurer les sauvegardes de l’iPhone pour accéder aux données personnelles de la victime.
Redoutable. A la fin de la vidéo, SRLabs propose une série de mesures qu’Apple pourrait mettre en place pour éviter un tel scénario. En particulier, Apple ne devrait pas autoriser le mode avion sans déverrouiller l’écran, et ne pas récupérer les e-mails sans avoir vérifié qu’aucun ordre d’effacement n’est reçu.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !