iOS 7 ne sait plus chiffrer les pièces jointes

Andreas Kurtz, un chercheur en sécurité, dévoile aujourd’hui un oubli dans la sécurité des dernières versions d’iOS 7 : l’OS mobile d’Apple ne serait plus capable de protéger les fichiers reçus par mail.

Malgré la mise au point de mécanismes de protection des données, Apple a failli sur le chiffrement des pièces jointes attachées à nos mails. Théoriquement, avec un verrouillage par code, l’appareil précise très clairement que la protection des données est activée. En pratique, c’est une tout autre chose.

Le chercheur en sécurité a vérifié son hypothèse avec un iPhone 4 fraîchement restauré sous 7.1.1, un iPad 2 sous 7.0.2 ainsi qu’un iPhone 5s également sous 7.0.2.

Kurtz a ajouté un compte mail IMAP, envoyé quelques mails accompagnés de pièces jointes, et a tout de même pu accéder à ces mêmes fichiers en passant via le mode DFU de l’appareil, sans aucune restriction ni chiffrement.

Ce n’est pas un problème d’activation, car la protection des données est bien présente : l’index contenant la base de données des mails est inexploitable comme promis. Le problème vient bien du stockage des pièces jointes.

# mount_hfs /dev/disk0s1s2 /mnt2
# cd /mnt2/mobile/Library/Mail/

# xxd IMAP-MY_MAILADDRESS/INBOX.imapmbox/Attachments/4/2/my_file.pdf 
0000000: 2550 4446 2d31 2e34 0a25 81e2 81e3 81cf  %PDF-1.4.%......
0000010: 81d3 5c72 0a31 2030 206f 626a 0a3c 3c0a  ..\r.1 0 obj.<<.
0000020: 2f43 7265 6174 696f 6e44 6174 6520 2844  /CreationDate (D
0000030: 3a32 3031 3330 3830 3532 3034 3830 3329  :20130805204803)
0000040: 0a2f 4d6f 6444 6174 6520 2844 3a32 3031  ./ModDate (D:201
0000050: 3330 3830 3532 3034 3830 3329 0a2f 5469  30805204803)./Ti
0000060: 746c 6520 2852 2047 7261 7068 6963 7320  tle (R Graphics 
0000070: 4f75 7470 7574 290a 2f50 726f 6475 6365  Output)./Produce
0000080: 7220 2852 2033 2e30 2e31 290a 2f43 7265  r (R 3.0.1)./Cre
0000090: 6174 6f72 2028 5229 0a3e 3e0a 656e 646f  ator (R).>>.endo

la liste des pièces jointes stockées sur l’appareil, sans protection

Andreas Kurtz a reporté le problème à Apple, qui aurait répondu que le problème était connu. On espère donc que ce sera réglé très prochainement – peut-être dans un futur iOS 7.1.2 ?

Cependant, la dangerosité de la faille est limitée : s’il n’est pas souhaitable de pouvoir accéder à des données normalement chiffrées, il faut un accès physique à l’appareil pour en tirer bénéfice, ce qui réduit drastiquement l’étendue des dégâts. Kurtz conseille pour les plus inquiets de désactiver la synchronisation des mails.

via

Posted By

Jason Pierna

24 ans, ingénieur iOS.

You might also like

793

App Store Featured Jeux Vidéo Réalité virtuelle

Ana the Game : Vivre dans le téléphone d’un autre

25 mai 2017

1.4K

Achat Constructeurs Featured Mac Netbook On aime Tablettes Windows

Thunderbolt 3 (USB-C), la liste complète des ordinateurs portables

3 mai 2017

554

App Store Apple Watch iPhone

Apple Watch : Meetic arrive sur nos poignets.

11 mai 2015

More from Apple

770

Crypto-monnaies : Suivre ses placements

Posted On 21 février 2017 Erwin 0

Beaucoup disent que nous vivons les premières années lucratives d'une nouvelle économie numérique majeure pour l'humanité, ils ont peut-être raison. …

1.7K

Sonoff, toute une gamme de produits domotique sur une base ESP8266 (MQTT)

Posted On 9 novembre 2016 Erwin 2

Sonoff, j'en parlais il y a quelques semaines, une marque de Shenzhen du constructeur ITEAD, ils proposaient à l'époque qu'un …

934

€ : Curve, la carte des cartes

Posted On 8 novembre 2016 Erwin 0

Curve est un nouvel outil de consommation paiement, originaire des terres britanniques, c'est une carte bancaire à cartes, - à …