Suivez-nous

Interview

Faille iOS : tempête dans un verre d’eau?

Une faille critique dans iOS, et surtout Apple particulièrement lente à réagir ? Pas si simple ! Explications avec les principaux intéressés

Boro

Publié le

 

Par

mail_tc.png

Joyau de la couronne d’Apple depuis le lancement de l’iPhone, la sécurisation du logiciel interne du Smartphone d’Apple et de ses héritiers de la dynastie iOS a constamment été mis en avant en tant qu’avantage concurrentiel face à la pétaudière Android… À ceci près que la première version de iPhone OS, livrée fin juin 2007 avec la première version du terminal, n’avait pas tardé à livrer la plupart de ses secrets à quelques gamins motivés, avant d’être stabilisée pour de bon début 2008. Et jusqu’hier, iOS avait plutôt fait figure de bon élève au chapitre de la sécurité, d’autant que la version 7 livrée à l’automne dernier en même temps que l’iPhone 5s et son capteur d’empreintes inaugurait une procédure d’activation des différents terminaux avec une sécurisation renforcée.

Et patatras ! Depuis hier et moins de 2 semaines à peine avant l’ouverture de la conférence annuelle des développeurs Apple où seront présentés les prochaines versions de iOS et de OS X, le landerneau technologique n’en finit pas de bruisser de l’exploit réussi par un binôme néerlando-marocain, qui non seulement a réussi à passer outre les sécurités mises en place par Apple, et à s’interposer entre le terminal et le serveur d’activation de la Pomme, mais surtout proposerait à tout un chacun sur son site Internet d’activer son iPhone, quelle que soit la façon dont il se le serait procuré. Le sujet est particulièrement sensible aux États-Unis et dans certaines grandes métropoles, où l’iPhone et de loin le téléphone mobile le plus convoité et le plus objet des vols à l’arraché, y compris avec violences, comme l’iPod en son temps.

Circonstance aggravante, non seulement la faille serait relativement simple à exploiter mais en outre, Apple dûment avertie depuis 2 mois, n’aurait pas bougé le petit doigt… Du moins avant que la faille ne devienne publique, ce qui il faut bien le dire a déjà été évoqué à plusieurs reprises dans des constances analogues.

Nous avons réussi à contacter cette fameuse équipe doulCi, à la fois dans sa composante néerlandaise et marocaine, grâce à l’un de nos lecteurs qui se reconnaîtra et que nous remercions ici. Les faits sont en réalité beaucoup moins simples que les histoires racontées ici ou là.

C’est en fait MerrukTechnolog qui, voici 5 mois c’est-à-dire fins décembre, avait commencé à programmer une solution de sauvegarde des tickets d’activation, destinée aux anxieux qui avaient peur de perdre leurs informations confidentielles communiquées à Apple lors de l’activation. C’est alors qu’il a découvert une faille de sécurité très importante du côté du serveur, mais qui n’est pas pour autant si facile à combler, étant fréquemment utilisée par les appareils sous iOS.

La faille… et la poutre dans l’œil du voisin…

Dans un premier temps, MerrukTechnolog n’a pas cherché à joindre Apple pour l’avertir de la faille, se contentant de publier pendant une petite semaine une plate-forme Web prenant en charge le processus d’activation à partir d’iTunes, déverrouillant avec succès les appareils Wifi, mais également toutes les versions d’iPad 2 ainsi que l’iPhone 4. C’est alors qu’il fait. la connaissance de AquaXetine, néerlandais mais d’origine marocaine comme lui. C’est d’ailleurs lui qui, à son tour, a mis à jour une 2e faiille côté serveur (qui pour la petite histoire est prénommé Albert). Ce sont au total pas moins de 3 failles, 2 du côté du serveur et 1 du côté iOS qui ont été mises à jour, et qui sont exploitées dans le cas présent. MerrukTechnolog & AquaXetine se refusent à rendre publiques les failles côté serveur, que le néerlandais qualifie de « niveau amateur » mais qui, on l’a vu, ne sont pas pour autant si facile à combler.

“ La sécurité est très faible…” MerrukTechnolog

Le problème n’est d’ailleurs pas tant que l’on puisse s’interposer du côté serveur pour tenter de leurrer iOS : le principal souci est précisément que iOS se laisse trop facilement berner et ne vérifie pas correctement la réponse envoyée par le serveur distant, en se contentant d’un ticket d’activation incomplet. Il fut alors décidé, et c’est AquaXetine qui s’en est chargé, de mettre en place un site qui fasse du bruit, de manière à alerter les utilisateurs de la plate-forme des dangers qu’ils courent : «la sécurité est très faible », insiste MerrukTechnplog. Quant à contourner l’activation de la carte SIM, pour donner accès à l’ensemble des fonctions du terminal, il n’en est absolument pas question, poursuit-il : «doulCi est conçu spécialement pour faire connaître aux gens le manque de sécurité apporté par le service d’Apple, et uniquement pour les propriétaires légitimes de l’appareil, s’ils ont oublié leurs informations pour se connecter. Et ils peuvent ainsi accéder à leurs contacts, leurs notes, leurs photos etc. il ne s’agit pas de mettre un appareil totalement fonctionnel dans de mauvaises mains. ». [Edit 18h45: L’exploit est d’autant plus remarquable que Murruk et Xetine sont respectivement âgés de 27 et 22 ans, et que Murruk n’ayant pas d’iPhone, il a procédé purement par logique. C’était la première fois qu’il s’attaquait à du matériel embossé d’une Pomme !]

Reste qu’Apple, contacté en fait le 3 mai 2014 c’est-à-dire il y a un peu plus de 3 semaines, n’a pas semblé très réactif lorsque les 2 compères ont décidé de tirer la sonnette d’alarme pour de bon.

Nous nous sommes procurés une copie du mail envoyé à Apple et, à la décharge de la firme à la pomme, AquaXetine ne s’y est sans doute pas pris de la manière la plus efficace puisque, écrivant directement à l’adresse de Tim Cook – il vaut certes mieux s’adresser au bon Dieu qu’à ses Saints – il a omis de donner le moindre détail sur la réalité de leur découverte, là où quelques lignes de code ou quelques explications beaucoup plus explicites leur auraient sans doute servi de sésame. Il n’empêche : ces deux-là auraient bien mérité d’être les invités d’Apple pendant une semaine à la WWDC ! Quant à Apple, si prompte à railler les failles dans l’œil de ses compétiteurs, spécialement lors de sa conférence développeurs, il lui reste à travailler d’urgence sur le madrier qui vient de lui pousser à côté du front !

Contacté en fin de matinée, le service de presse d’Apple n’était pas en mesure de nous donner de position officielle.