L'entreprise GrayKey était l'une des premières à proposer un système de déverrouillage d'iPhone clef en main. Apple lui coupe l'herbe sous les pieds.

En mars 2018, l’entreprise GrayKey était sur toutes les lèvres. Et pour cause : elle avait réussi à atteindre le Saint-Graal du craquage de mot de passe en proposant de déverrouiller n’importe quel iPhone. Son boîtier, conçu par un ancien ingénieur sécurité d’Apple et capable d’exploiter certaines failles méconnues, se connectait en USB à un iPhone et, vraisemblablement, utilisait des méthodes de force brute pour déverrouiller les appareils. Cette situation embarrassante pour Apple prendra fin.

La solution trouvée par Apple est toute simple et devrait permettre de bloquer toute tentative de ce genre, plutôt que de bloquer les potentielles failles les unes après les autres. La firme de Cupertino va en effet déployer un Mode USB Restreint sur ses appareils iOS, déjà testé dans les versions bêta d’iOS 11.4.1 et iOS 12. Cela signifie qu’un iPhone branché en USB et verrouillé plus d’une heure ne laissera plus passer aucune donnée — il se contentera de charger l’appareil. Pour réactiver l’échange de données via le port Lightning, il faudra le déverrouiller.

Le boîtier GrayKey

Cela coupe donc définitivement l’herbe sous les pieds de GrayKey qui exploitait apparemment une faille lors de la connexion d’un iPhone en USB qui lui laissait installer un petit programme capable de faire interface entre le smartphone et un logiciel pour craquer les mots de passe. GrayKey mettait entre deux heures et trois jours à mener à bien son opération et afficher le mot de passe de l’utilisateur. Ce blocage pur et simple de l’échange de données via le port USB empêche donc totalement ce type de faille d’être exploitée sans gêner l’utilisateur qui voudrait, par exemple, faire transiter des photos sur son ordinateur.

Certes, il restera cette heure pour que GrayKey ou d’autres entreprises similaires parviennent à débloquer un iPhone. Mais c’est un laps de temps très court pour accéder à vos données si vous avez un mot de passe décent sur votre smartphone (pas votre date de naissance par exemple).

Partager sur les réseaux sociaux