Un hacker a estimé avoir réussi à détourner la protection des iPhone contre les attaques en force brute. Ce qu’il a montré était en fait un glitch de l’interface graphique.

Le 22 juin 2018, un hacker nommé Matthew Hickey a montré sur son compte Twitter une méthode qui, d’après lui, permettait de contourner la protection des iPhone et d’opérer une attaque en « force brute » pour trouver le mot de passe d’un smartphone. Sa méthode, affirmait-il, utilisait une faille dans le comportement d’iOS qui lui permettait de tester « une longue chaîne de codes potentiels » plutôt que plusieurs codes les uns après les autres. Pour rappel, au bout de 10 tentatives infructueuses, une option d’iOS efface tout le contenu d’un iPhone. La méthode Hickey aurait permis à un hacker de contourner cette fonctionnalité.

Cela dit, il semblerait que ses tests n’aient pas été suffisamment poussés. En effet, si la vidéo montre bien un iPhone en train de recevoir bien plus de dix codes erronés sans broncher, aucun d’entre eux ne serait effectivement testé. Ce que Hickey a découvert n’est donc pas une porte dérobée ou un bug, mais un glitch d’affichage qui lui a fait croire qu’il était en train de tester des codes d’iPhone. Apple a communiqué à la presse américaine en estimant que les résultats montrés étaient causés par un « protocole de test incorrect ».

https://vimeo.com/276506763

Et si Apple n’a pas précisé davantage pourquoi il s’agissait d’une erreur de méthode, de son côté, Matthew Hickey a compris d’où venait son problème. La description de sa vidéo publiée sur Vimeo a changé pour indiquer que l’animation que l’on voit à l’écran n’envoie pas, en réalité, de mot de passe au smartphone. C’est simplement une animation. De fait, tous les mots de passe réellement testés par l’iPhone comptent pour un, déclenchent un compte à rebours pour espacer les tentatives et effacent le smartphone au bout de 10 tentatives si l’option est cochée.

En revanche, dans iOS 12, Apple proposera une correction à un souci qui permettait effectivement d’opérer une attaque en force brute.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !