Plusieurs actualités récentes sont venues bousculer la sécurité, pourtant fer de lance, des produits de Apple (Goto fail, Touch ID, jailbreak…). Thibaut Gadiolet, expert en sécurité pour Lexsi, décortique dans cette tribune les failles et mécanismes de sécurité d’iOS.
Plusieurs actualités récentes sont venues bousculer la sécurité, pourtant fer de lance, des produits de la marque à la pomme. On pense notamment à :
• La faute de code grossière ou volontaire rendant possible l’interception des communications SSL [1]
• L’introduction de la biométrie avec Touch ID et des questionnements quant à la conservation des empreintes digitales au regard des opérations menées par le NSA
• Le contournement des mécanismes de sécurité :
- L’exploitation de Siri depuis l’écran de déverrouillage pour passer un appel, accéder à l’historique d’appel et la liste des contacts
- La désactivation de la fonction “Find my iPhone” sans connaissance du mot de passe associé
- L’accès au “centre de contrôle” sans connaissance du mot de passe de déverrouillage, permettant ainsi l’usurpation des comptes email, Facebook ou encore Twitter.
• Le Jailbreak “untethered” toujours d’actualité et fonctionnant sur la dernière version [2] d’iOS (7.0.6)
En réponse aux polémiques et failles de sécurité, Apple a récemment mis à jour son livre blanc sur la sécurité des systèmes iOS [3]. Au sein de ce billet, nous nous concentrons tout d’abord sur la problématique du Jailbreak puis sur les interrogations autour de Touch ID en mettant en lumière les affirmations relatives à ces sujets.