iOS : la faille qui expose les identifiants des iPhone d’entreprise

Selon le chercheur en sécurité Kevin Watkins, une faille iOS permet d’accéder aux identifiants de connexion de l’ensemble des terminaux mobiles d’une entreprise équipés de cet OS. Référencée CVE-2015-3269, cette vulnérabilité touche toutes les applications gérées à partir d’un client MDM (mobile device management) quand l’outil de gestion du mobile exploite les paramètres de configuration des apps (Managed App Configuration) de l’OS. Les données sont exposées quand l’administrateur décide d’utiliser la saisie automatique des identifiants pour simplifier les processus de connexion des terminaux au réseau de l’entreprise.

« Nous avons trouvé que ces informations incluent l’accès aux ‘bijoux’ de la sécurité des données d’entreprise, y compris le serveur d’URL, les informations d’identification avec les mots de passe en clair, etc. », précise l’expert en sécurité de la société Appthority. Un bug qui donne, aux applications installées via le MDM du terminal, un accès aux informations d’authentification et de paramétrage stockées sur l’appareil. Mais, surtout, cet accès est aussi possible pour  n’importe quelle autre application installée.

Près de la moitié des applications

Un attaquant qui réussirait à faire installer une application sur un terminal d’entreprise pourrait ainsi surveiller en permanence le répertoire des paramètres de configuration en cours d’écriture et se faire envoyer les informations qu’il contient. Et cela, en toute impunité, puisque le programme malveillant fonctionnerait comme l’une des applications accèdant légitimement au répertoire visé. Une attaque plus ciblée par spearphishing est aussi envisageable.

Pour avoir une idée de l’impact de cette vulnérabilité, Appthority a regardé, parmi les millions d’applications d’entreprise, celles qui s’appuient sur l’outil de gestion de configuration d’iOS. Les plus concernées sont des clients MDM, des apps qui accèdent aux e-mails et documents de l’entreprise et les navigateurs sécurisés utilisés pour se connecter au réseau de l’organisation. Les experts en sécurité ont également trouvé des applications de santé qui permettent aux médecins d’avoir accès au dossier médical de leurs patients. Au total, 47 % des applications de ce type référencent les identifiants des utilisateurs, noms, mots de passe et jetons d’authentification compris. Et 67 % d’entre elles les informations propres aux serveurs d’identification.

70 % des terminaux non mis à jour

Le chercheur a publié son article le 19 août, soit six jours après que Apple ait diffusé une mise à jour corrigeant notamment la vulnérabilité, avec iOS 8.4.1. Mise à jour qu’il est donc plus que recommandé d’effectuer. Malheureusement, la société de sécurité relève que, habituellement, 70 % des terminaux iOS ne disposent pas de la version la plus récente de l’OS, même plusieurs mois après sa mise à disposition. « En outre, même sur des appareils qui sont patchés, le risque existe que l’appareil mobile soit compromis [en amont de la mise à jour, NDLR]. Aucune utilisation de bac-à-sable [sandboxing] ne protégera les données stockées sur l’appareil iOS », alerte le chercheur.

Ce dernier recommande notamment de ne pas utiliser l’outil de paramétrage des apps de iOS pour fournir des données confidentielles, ce que la DSI peut avoir la tentation de faire pour simplifier les usages des collaborateurs, et de toujours passer par le trousseau de l’appareil pour stocker des identifiants et autres données stratégiques. Ou encore, de s’en remettre aux profils d’authentification unique (SSO) d’iOS quand c’est possible.

Lire également
Des failles zero day sur Mac OS X et iOS ignorées par Apple
1000 applications iOS touchées par une vulnérabilité SSL
iOS cède du terrain sur le marché de l’entreprise