Cybersécurité - Innovations digitales et numériques

Le pirate n’aurait jamais réussi à hacker tous ces comptes iCloud si les victimes, aussi vedettes soient-elles, n’avaient pas pris la sécurité de leur compte Apple à la légère. Elles auraient par exemple pu :

• Adopter des mots de passe robustes, comme par exemple « Sh1neBrigh7!!!Lik3@R1h4nn4inZeSky:-) » au lieu d’une date d’anniversaire ou du nom du toutou familial, c’est à dire des informations que l’on peut facilement retrouver et recouper sur Internet (ingénierie sociale).
• Mieux choisir sa question de sécurité (en cas de perte ou de vol de mot de passe), toujours pour éviter d’être la victime d’ingénierie sociale.
• Activer la validation en deux étapes Apple, pour s’assurer que personne d’autre ne vienne se connecter illégitimement.

L’alerte avait été tirée par des chercheurs en sécurité chinois en mars 2014. L’un d’entre eux relayait alors sur les forums chinois la découverte d’une étrange librairie sur son iPhone. Celle-ci modifiait l’identifiant du développeur afin de détourner les fonds générés par les clics de l’utilisateur. Pour faire simple, chaque clic que l’utilisateur effectuait gênerait bien des revenus publicitaires, mais ceux-ci n’étaient pas reversés à l’annonceur légitime et filaient sur le compte du créateur du malware.

Le 18 juillet dernier lors de la conférence HOPE X de New York, le chercheur en sécurité Jonathan Zdziarski (aka Nervegas, spécialiste de la sécurité iOS et contributeur à plusieurs jailbreak iOS) à dévoilé des vulnérabilités volontairement implémentées par Apple dans son système d’exploitation mobile.

Plusieurs actualités récentes sont venues bousculer la sécurité, pourtant fer de lance, des produits de la marque à la pomme. On pense notamment à :

• La faute de code grossière ou volontaire rendant possible l’interception des communications SSL [1]
• L’introduction de la biométrie avec Touch ID et des questionnements quant à la conservation des empreintes digitales au regard des opérations menées par le NSA
• Le contournement des mécanismes de sécurité :
                                 - L’exploitation de Siri depuis l’écran de déverrouillage pour passer un appel, accéder à  l’historique d’appel et la liste des contacts
                                 - La désactivation de la fonction “Find my iPhone” sans connaissance du mot de passe associé
                                 - L’accès au “centre de contrôle” sans connaissance du mot de passe de déverrouillage, permettant ainsi l’usurpation des comptes email, Facebook ou encore Twitter.
• Le Jailbreak “untethered” toujours d’actualité et fonctionnant sur la dernière version [2] d’iOS (7.0.6)

En réponse aux polémiques et failles de sécurité, Apple a récemment mis à jour son livre blanc sur la sécurité des systèmes iOS [3]. Au sein de ce billet, nous nous concentrons tout d’abord sur la problématique du Jailbreak puis sur les interrogations autour de Touch ID en mettant en lumière les affirmations relatives à ces sujets.

Problème, selon un chercheur en sécurité, Andreas Kurtz, cette affirmation ne se confirme pas dans les faits et les pièces jointes (sous MobileMail.app) sont ainsi en réalité stockées en clair sur le terminal. Une mauvaise nouvelle pour les entreprises qui pensaient ces documents protégés.

La dangerosité de la faille a rapidement donné lieu sur les réseaux à une déferlante d’articles et de précisions, le hashtag « #Gotofail » devenant le signal de ralliement. Le chercheur indépendant Ashkan Soltani (qui avait notamment aidé à prouver que les liens envoyés sous Skype étaient surveillés de manière proactive) s’est ainsi étonné sur Twitter qu’Apple ne procède pas systématiquement aux tests qui auraient permis de détecter ce type de comportement. Mais dans le guide de sécurité fourni par l’entreprise, il est demandé que les « données invalides ou inattendues » soient autant testées que les données attendues. Pour Adam Langley, de chez Google, il s’agit d’une erreur d’autant plus grave qu’elle est grossière.

Suite à l’émergence du problème qui touche le code de Safari et affecte la vérification d’authenticité des serveurs, avec les risques que cela comporte, Apple vient de mettre en place un site, Gotofail.com, qui vous permet de tester vos appareils Apple à partir du navigateur Safari. Un autre site non officiel permet aussi de faire le test.