Cybersécurité - Innovations digitales et numériques

Le 18 juillet dernier lors de la conférence HOPE X de New York, le chercheur en sécurité Jonathan Zdziarski (aka Nervegas, spécialiste de la sécurité iOS et contributeur à plusieurs jailbreak iOS) à dévoilé des vulnérabilités volontairement implémentées par Apple dans son système d’exploitation mobile.

Plusieurs actualités récentes sont venues bousculer la sécurité, pourtant fer de lance, des produits de la marque à la pomme. On pense notamment à :

• La faute de code grossière ou volontaire rendant possible l’interception des communications SSL [1]
• L’introduction de la biométrie avec Touch ID et des questionnements quant à la conservation des empreintes digitales au regard des opérations menées par le NSA
• Le contournement des mécanismes de sécurité :
                                 - L’exploitation de Siri depuis l’écran de déverrouillage pour passer un appel, accéder à  l’historique d’appel et la liste des contacts
                                 - La désactivation de la fonction “Find my iPhone” sans connaissance du mot de passe associé
                                 - L’accès au “centre de contrôle” sans connaissance du mot de passe de déverrouillage, permettant ainsi l’usurpation des comptes email, Facebook ou encore Twitter.
• Le Jailbreak “untethered” toujours d’actualité et fonctionnant sur la dernière version [2] d’iOS (7.0.6)

En réponse aux polémiques et failles de sécurité, Apple a récemment mis à jour son livre blanc sur la sécurité des systèmes iOS [3]. Au sein de ce billet, nous nous concentrons tout d’abord sur la problématique du Jailbreak puis sur les interrogations autour de Touch ID en mettant en lumière les affirmations relatives à ces sujets.

La dangerosité de la faille a rapidement donné lieu sur les réseaux à une déferlante d’articles et de précisions, le hashtag « #Gotofail » devenant le signal de ralliement. Le chercheur indépendant Ashkan Soltani (qui avait notamment aidé à prouver que les liens envoyés sous Skype étaient surveillés de manière proactive) s’est ainsi étonné sur Twitter qu’Apple ne procède pas systématiquement aux tests qui auraient permis de détecter ce type de comportement. Mais dans le guide de sécurité fourni par l’entreprise, il est demandé que les « données invalides ou inattendues » soient autant testées que les données attendues. Pour Adam Langley, de chez Google, il s’agit d’une erreur d’autant plus grave qu’elle est grossière.

Suite à l’émergence du problème qui touche le code de Safari et affecte la vérification d’authenticité des serveurs, avec les risques que cela comporte, Apple vient de mettre en place un site, Gotofail.com, qui vous permet de tester vos appareils Apple à partir du navigateur Safari. Un autre site non officiel permet aussi de faire le test.

L’alerte avait été tirée par des chercheurs en sécurité chinois en mars 2014. L’un d’entre eux relayait alors sur les forums chinois la découverte d’une étrange librairie sur son iPhone. Celle-ci modifiait l’identifiant du développeur afin de détourner les fonds générés par les clics de l’utilisateur. Pour faire simple, chaque clic que l’utilisateur effectuait gênerait bien des revenus publicitaires, mais ceux-ci n’étaient pas reversés à l’annonceur légitime et filaient sur le compte du créateur du malware.

Problème, selon un chercheur en sécurité, Andreas Kurtz, cette affirmation ne se confirme pas dans les faits et les pièces jointes (sous MobileMail.app) sont ainsi en réalité stockées en clair sur le terminal. Une mauvaise nouvelle pour les entreprises qui pensaient ces documents protégés.