Parfois, les idées les plus simples sont les meilleures. Cela vaut aussi pour le domaine de la sécurité informatique : face à un boîtier spécial, utilisé par les forces de l’ordre, capable d’exploiter des brèches non répertoriées dans iOS, le système d’exploitation mobile pour l’iPhone et l’iPad, la société américaine Apple a eu l’idée… de tout simplement déployer un mode limitant l’usage de l’USB sur ses appareils.
Testée depuis ce printemps par les ingénieurs de la firme de Cupertino, et proposée via une version bêta d’iOS, la solution est désormais disponible avec la version 11.4.1 de l’O.S., qui est sortie le 9 juillet 2018. Elle figurera aussi dans la version finale d’iOS 12, qui sera proposée à partir de la rentrée. Il suffit de mettre à jour son terminal pour que la sécurité avec le mode USB restreint soit active.
Rappel des faits.
Au mois de mars 2018, l’entreprise GrayKey se fait connaître avec la mise au point d’un boîtier capable de déverrouiller n’importe quel iPhone ou iPad. Cet objet, qui a été fabriqué par un ex-ingénieur de la firme de Cupertino, se sert de failles irrésolues dans iOS et se connecte en USB au terminal. De là, manifestement, des méthodes de force brute, en testant toutes les combinaisons jusqu’à trouver le bon code.
L’opération peut prendre du temps, selon la complexité du mot de passe : GrayKey mettrait entre deux heures et trois jours pour compléter sa tâche et afficher le Graal de l’utilisateur. D’où l’idée d’Apple de proposer un mode restrictif qui empêche l’échange de données par câble USB une fois qu’un certain délai s’est écoulé. Au-delà de cette période, le câble se contentera de charger le terminal.
Et ce délai est d’une heure : cela signifie qu’un iPhone branché en USB et verrouillé plus d’une heure ne laissera plus passer aucune donnée. Pour réactiver l’échange de données via le port Lightning, il faudra le déverrouiller. Alternativement, vous pouvez aussi vous rendre dans les réglages de votre appareil et activer le mode Accessoires USB pour que la connexion marche au-delà d’une heure.
Ce mode permet par exemple d’utiliser un iPhone en mode modem, via un câble USB. Il faudra juste penser, une fois sa session de navigation terminée, à désactiver le réglage.
Certes, il restera cette heure pour que GrayKey ou d’autres entreprises du même ordre parviennent à débloquer un iPhone. Mais c’est un laps de temps très court — même en tenant compte des progrès en informatique et de la puissance de calcul en hausse année après année — pour accéder à vos données si vous avez un mot de passe décent sur votre smartphone (pas votre date de naissance par exemple).
Comme nous l’expliquions alors, GrayKey exploitait une faille lors de la connexion d’un iPhone en USB qui lui laissait installer un programme capable de faire interface entre le mobile et un logiciel pour craquer les mots de passe. Ce blocage de l’échange de données via le port USB empêche donc ce type de faille de servir sans gêner l’utilisateur qui voudrait, par exemple, faire transiter des photos sur son ordinateur.
Pour Apple, cette tactique a l’avantage d’être simple. Cela ne l’exonère évidemment pas de colmater toutes les futures vulnérabilités qui seront décelées, mais encore faut-il les voir avant les autres. Or à ce jeu-là, l’attaquant a souvent une longueur d’avance temporaire sur le défenseur : celui-ci doit en effet trouver comment l’assaillant opère et ce dernier ne va bien sûr pas lui dire sa tactique.
C’était le cas avec GrayKey. Cela étant, la mise en place d’une sorte de minuteur qui active un mode de restriction va permettre de rendre inaccessible d’éventuelles brèches trouvées par ce canal. Cela ne rend évidemment pas les terminaux du groupe américain inviolables : peut-être apprendrons-nous bientôt que des failles ont été trouvées dans ce mode de restriction, failles qui relanceraient alors le jeu du chat et de la souris.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !