iOS 13 : une faille permet de lire les mots de passe d’un iPhone verrouillé
La sécurité des iPhone et iPad mise à mal.
La société spécialiste de la sécurité informatique Elcomsoft a récemment mis en lumière l’existence d’une faille sur iPhone, iPad et iPod tournant sous iOS 12 et jusqu’à iOS 13.3. Cette faille profite d’une vulnérabilité incorporée dans certaines puces processeur Ax. Elle est en outre assez grave. En effet, elle permet au pirate d’accéder à des informations d’un appareil iOS verrouillé, sans avoir à le déverrouiller, et même si l’appareil est en état dit BFU.
Cet état BFU, pour Before First Unlock, est l’état de verrouillage le plus dur d’un appareil iOS. Un iPhone, iPad, ou iPod est en état BFU après un premier allumage ou un redémarrage, alors qu’aucune tentative de déverrouillage n’a encore été effectuée par l’utilisateur.
Dans cet état de BFU, les données de l’appareil iOS sont normalement cryptées de manière très sécurisée, jusqu’à ce que l’utilisateur effectue sa première tentative de déverrouillage par code.
Seulement, selon Elcomsoft, il est possible d’accéder à des données de l’iPhone ou iPad, même en état BFU, comme des informations du trousseau d’accès, contenant notamment mots de passe, identifiants et adresses email. La procédure de piratage nécessite toutefois d’installer un logiciel jailbreak sur l’appareil ciblé. Mais cela peut se faire même sur un iPhone en état de BFU.
© Unsplash / Harpal Singh
Quels iPhone touchés ?
Elcomsoft précise tout de même que la faille de sécurité n’existe plus sur les puces Ax récentes. Ainsi, les appareils iOS équipés d’un processeur A12 ou modèle plus récent ne sont pas concernés. Mais tous les appareils iOS équipés d’une puce A7, A8, A9, A10 ou A11 présentent la vulnérabilité exposée ci-dessus, soient les modèles d’iPhone et d’iPad suivants :
- iPhone 5s, iPhone 6 et 6 Plus, iPhone 6s et 6s Plus, iPhone SE, iPhone 7 et 7 Plus, iPhone 8 et 8 Plus, iPhone X
- iPad Air 1 et 2, iPad mini 2, 3 et 4, iPad Pro 12,9″ (1re et 2e génération), iPad Pro 9,7″, iPad Pro 10,5″, iPad (5e et 6e génération)
Comment profiter de la faille ?
L’outil utilisé par Elcomsoft coûte 1 500 dollars. Et pour pirater l’iPhone en installant le jailbreak, soit le logiciel sous-tendant la procédure, il faut que le pirate ait l’iPhone ou l’iPad physiquement avec lui.
Avec ses nouvelles puces A12 et plus récentes, Apple semble avoir déjà corrigé le tir. Mais pourra-t-elle corriger de manière logicielle la faille mise ici en exergue par Elcomsoft et présente sur des millions d’appareils iOS déjà en circulation ? Rien n’est moins sûr.
Si par malheur vous avez perdu votre iPhone ou iPad ou vous vous l’êtes fait voler, n’hésitez pas à consulter notre guide :
Lecteur-1569928572 (posté avec l'app i-nfo.fr V2)
22 décembre 2019 à 9 h 43 min
Qui est responsable dans ces cas là ? Apple ne construit pas ses processeurs pourtant il doit bien spécifier certaines choses ?
Nb : Question sérieuse
Clem (posté avec l'app i-nfo.fr V2)
22 décembre 2019 à 9 h 56 min
@Lecteur-1569928572
Ça ne sera pas apple, car il faut que l’iphone soit jailbreaké. Donc vu que le jailbreak est une maniere volontaire de l’utilisateur de faire sauter les verrous, c’est l’utilisateur le responsable.
Et pour installer un jailbreak il faut que l’iphone soit déverrouillé. Donc pas possible de le faire sans connaitre le code.
Lecteur-1531222342 (posté avec l'app i-nfo.fr V2)
22 décembre 2019 à 10 h 15 min
Non l’article dit clairement que le jailbreak est fait par le pirate lui-même. Mais il faut qu’il soit en possession physique de l’appareil concerné.
Lecteur-1535732272 (posté avec l'app i-nfo.fr V2)
22 décembre 2019 à 11 h 40 min
Je dis ça je dis rien, mais c’est bien aussi pour relancer les ventes??
Zitoun (posté avec l'app i-nfo.fr V2)
22 décembre 2019 à 12 h 39 min
Rien n’ai inviolable, cela a été fait ! Cela peux être défait !! La faille existe depuis plusieurs année et découverte aujourd’hui, cela veux dire aussi que ce n’ai pas si simple que ça !
Zitoun (posté avec l'app i-nfo.fr V2)
22 décembre 2019 à 12 h 52 min
6 ans , d’autant plus que l’outils est pas donné 1500 dollars, donc de là à dire qu’il y a un risque accru est vite dis . Y a pas une masse d’iphone voler, donc l’intérêt d’investir 1500dollars pour éventuellement ne rien trouvé… j’ai un iPad Air et un iPhone 7 Plus , je ne suis pas plus inquiet que ça .
Lecteur-1520157344 (posté avec l'app i-nfo.fr V2)
22 décembre 2019 à 12 h 58 min
Je m’en tamponne le coquillard
blackjack87 (posté avec l'app i-nfo.fr V2)
22 décembre 2019 à 13 h 11 min
Apple est responsable en tant que fabricant principal. A Apple de s’en prendre au fabricant de la pièce défectueuse.
Raymond (posté avec l'app i-nfo.fr V2)
22 décembre 2019 à 14 h 07 min
Mon mot de passe c’est : 1234
Darth Philou (posté avec l'app i-nfo.fr V2)
22 décembre 2019 à 16 h 43 min
Ben c’est le gouvernement américain qui est content ! De quoi se plaint-on ?
Lecteur-1533676615 (posté avec l'app i-nfo.fr V2)
22 décembre 2019 à 17 h 21 min
@Raymond non c’est le mien 🙂
Raymond (posté avec l'app i-nfo.fr V2)
22 décembre 2019 à 20 h 09 min
@Raymond pour le faux Raymond, mon mot de passe est 4321 !
Clem (posté avec l'app i-nfo.fr V2)
22 décembre 2019 à 20 h 40 min
Je vois pas bien comment installer l’outil sans déverrouiller le téléphone
Pour rappel, le port lightning est désactivé si le code n’est pas rentré. Ou alors mode dfu ?