Un hacker a estimé avoir réussi à détourner la protection des iPhone contre les attaques en force brute. Ce qu’il a montré était en fait un glitch de l’interface graphique.

Le 22 juin 2018, un hacker nommé Matthew Hickey a montré sur son compte Twitter une méthode qui, d’après lui, permettait de contourner la protection des iPhone et d’opérer une attaque en « force brute » pour trouver le mot de passe d’un smartphone. Sa méthode, affirmait-il, utilisait une faille dans le comportement d’iOS qui lui permettait de tester « une longue chaîne de codes potentiels » plutôt que plusieurs codes les uns après les autres. Pour rappel, au bout de 10 tentatives infructueuses, une option d’iOS efface tout le contenu d’un iPhone. La méthode Hickey aurait permis à un hacker de contourner cette fonctionnalité.

Cela dit, il semblerait que ses tests n’aient pas été suffisamment poussés. En effet, si la vidéo montre bien un iPhone en train de recevoir bien plus de dix codes erronés sans broncher, aucun d’entre eux ne serait effectivement testé. Ce que Hickey a découvert n’est donc pas une porte dérobée ou un bug, mais un glitch d’affichage qui lui a fait croire qu’il était en train de tester des codes d’iPhone. Apple a communiqué à la presse américaine en estimant que les résultats montrés étaient causés par un « protocole de test incorrect ».

https://vimeo.com/276506763

Et si Apple n’a pas précisé davantage pourquoi il s’agissait d’une erreur de méthode, de son côté, Matthew Hickey a compris d’où venait son problème. La description de sa vidéo publiée sur Vimeo a changé pour indiquer que l’animation que l’on voit à l’écran n’envoie pas, en réalité, de mot de passe au smartphone. C’est simplement une animation. De fait, tous les mots de passe réellement testés par l’iPhone comptent pour un, déclenchent un compte à rebours pour espacer les tentatives et effacent le smartphone au bout de 10 tentatives si l’option est cochée.

En revanche, dans iOS 12, Apple proposera une correction à un souci qui permettait effectivement d’opérer une attaque en force brute.

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !