Une vidéo publiée par EverythingApplePro montre que malgré les efforts d’Apple pour renforcer la sécurité sur iOS, le système garde toujours quelques faiblesses. Le document met en scène une boîte élaborée par les spécialistes. On sait seulement qu’elle a coûté 500 dollars à fabriquer. Elle a servi à subtiliser des codes d’accès aux iPhone 7 et 7 Plus en se basant sur une faille dans iOS 10 et 11.
Cette boîte est similaire à celle utilisée par les autorités pour tenter de craquer les mots de passe des terminaux Apple. Elle comprend 3 ports USB pour gérer 3 iPhones en simultanée. L’objectif est de générer des codes d’accès pour trouver le bon. Cette méthode dite par force brute se heurte habituellement à un nombre d’essais limités sur les iPhone. Mais dans ce cadre-là et dans certaines conditions, les réalisateurs de la vidéo montrent que la boîte est capable de générer des essais illimités. Cette technique fonctionne que sur les iPhone 7 et 7 Plus flashés pour installer la version 10.3.3 (même l’iPhone doté d’une version 11 (encore en développement) d’iOS a été downgradé) et il faut que le code d’accès ait été changé très récemment.
1 minute à une dizaine de jours pour craquer le code d’accès
Dans ces conditions restrictives, la vidéo indique que l’obtention d’un mot de passe peut aller d’une minute à quelques jours pour un code à 4 chiffres. Pour un code à 6 chiffres, le délai s’allonge pour aller d’une semaine à 10 jours.
Cette technique pourrait trouver un écho auprès des autorités judiciaires qui se démènent pour contourner les blocages des iPhone et se heurtent à la fermeté d’Apple pour déverrouiller les terminaux. On se souvient de l’affaire de l’iPhone 5C d’un terroriste de l’attentat de San Bernardino en 2015. A l’époque, le gouvernement demandait à la firme californienne de développer une version spéciale de son système d’exploitation lui permettant de contourner les sécurités standards d’iOS, notamment le redémarrage automatique après plusieurs essais infructueux dans la saisie du code PIN ou encore l’effacement de toutes les données du terminal après 10 erreurs dans cette même opération. Apple avait refusé, soutenu par plusieurs sociétés IT. Au final, le FBI avait déboursé 1,3 millions de dollars pour s’adjoindre les services de hackers capables de cet exploit.
La firme de Cupertino va certainement se pencher sur la faille utilisée dans la vidéo pour mettre à jour les versions d’iOS concernées. Surtout iOS 11, attendu dans les prochaines semaines avec le lancement des futurs iPhones.
A lire aussi :
FBI-iPhone : Un décryptage et un débat sans réponses
Pirater un iPhone sans l’aide d’Apple : les pistes possibles
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…