Andreas Kurtz, un chercheur en sécurité, dévoile aujourd’hui un oubli dans la sécurité des dernières versions d’iOS 7 : l’OS mobile d’Apple ne serait plus capable de protéger les fichiers reçus par mail.
Malgré la mise au point de mécanismes de protection des données, Apple a failli sur le chiffrement des pièces jointes attachées à nos mails. Théoriquement, avec un verrouillage par code, l’appareil précise très clairement que la protection des données est activée. En pratique, c’est une tout autre chose.
Le chercheur en sécurité a vérifié son hypothèse avec un iPhone 4 fraîchement restauré sous 7.1.1, un iPad 2 sous 7.0.2 ainsi qu’un iPhone 5s également sous 7.0.2.
Kurtz a ajouté un compte mail IMAP, envoyé quelques mails accompagnés de pièces jointes, et a tout de même pu accéder à ces mêmes fichiers en passant via le mode DFU de l’appareil, sans aucune restriction ni chiffrement.
Ce n’est pas un problème d’activation, car la protection des données est bien présente : l’index contenant la base de données des mails est inexploitable comme promis. Le problème vient bien du stockage des pièces jointes.
# mount_hfs /dev/disk0s1s2 /mnt2 # cd /mnt2/mobile/Library/Mail/ # xxd IMAP-MY_MAILADDRESS/INBOX.imapmbox/Attachments/4/2/my_file.pdf 0000000: 2550 4446 2d31 2e34 0a25 81e2 81e3 81cf %PDF-1.4.%...... 0000010: 81d3 5c72 0a31 2030 206f 626a 0a3c 3c0a ..\r.1 0 obj.<<. 0000020: 2f43 7265 6174 696f 6e44 6174 6520 2844 /CreationDate (D 0000030: 3a32 3031 3330 3830 3532 3034 3830 3329 :20130805204803) 0000040: 0a2f 4d6f 6444 6174 6520 2844 3a32 3031 ./ModDate (D:201 0000050: 3330 3830 3532 3034 3830 3329 0a2f 5469 30805204803)./Ti 0000060: 746c 6520 2852 2047 7261 7068 6963 7320 tle (R Graphics 0000070: 4f75 7470 7574 290a 2f50 726f 6475 6365 Output)./Produce 0000080: 7220 2852 2033 2e30 2e31 290a 2f43 7265 r (R 3.0.1)./Cre 0000090: 6174 6f72 2028 5229 0a3e 3e0a 656e 646f ator (R).>>.endo
la liste des pièces jointes stockées sur l’appareil, sans protection
Andreas Kurtz a reporté le problème à Apple, qui aurait répondu que le problème était connu. On espère donc que ce sera réglé très prochainement – peut-être dans un futur iOS 7.1.2 ?
Cependant, la dangerosité de la faille est limitée : s’il n’est pas souhaitable de pouvoir accéder à des données normalement chiffrées, il faut un accès physique à l’appareil pour en tirer bénéfice, ce qui réduit drastiquement l’étendue des dégâts. Kurtz conseille pour les plus inquiets de désactiver la synchronisation des mails.
You might also like
More from Apple
Crypto-monnaies : Suivre ses placements
Beaucoup disent que nous vivons les premières années lucratives d'une nouvelle économie numérique majeure pour l'humanité, ils ont peut-être raison. …
Sonoff, toute une gamme de produits domotique sur une base ESP8266 (MQTT)
Sonoff, j'en parlais il y a quelques semaines, une marque de Shenzhen du constructeur ITEAD, ils proposaient à l'époque qu'un …
€ : Curve, la carte des cartes
Curve est un nouvel outil de consommation paiement, originaire des terres britanniques, c'est une carte bancaire à cartes, - à …