class= » alignleft size-full wp-image-27733″ style= »margin: 6px; float: left; » alt= »iPhone 3GS » src= »https://www.channelnews.fr:8080/wp-content/uploads/2010/06/iPhone_3GS.jpg » width= »75″ height= »75″ width= »75″ height= »75″ /qui permet d’accéder en toute discrétion à certaines données de l’iPhone 3GS.
Bernd Marienfeldt est responsable de la sécurité informatique chez Linx (London Internet Exchange, point d’échanges de trafic Internet de la capitale britannique). C’est aussi un blogueur respecté sur ce thème. Sa dernière découverte remet en cause l’aura de sécurité qui entoure l’iPhone 3GS d’Apple, fort du chiffrement de sa mémoire interne suivant le standard AES 256 bits. De fait, comme il l’explique dans un billet blog, Bernd Marienfeldt a découvert que, dans certaines conditions, l’iPhone 3GS, bien que verrouillé par mot de passe, laisse grande ouverte une partie de ses entrailles au regard des curieux… et des malveillants.
La situation est simple : un iPhone éteint, même protégé par mot de passe, peut-être rallumé une fois connecté, en USB, à un ordinateur avec lequel il n’a jamais été utilisé, et… laisser monter automatiquement une partie de sa mémoire de masse, la rendant accessible tant en lecture qu’en écriture. Parmi les données ainsi laissée sans protection : musique, podcasts, mais aussi et surtout enregistrements du dictaphone ou encore photos.
Une menace généralisée
Bernd Marienfeldt a fait cette découvert un peu par hasard, avec Ubuntu 10.04. Il utilisait alors une librairie Open Source conçue pour permettre l’utilisation des terminaux Apple avec Linux, libimobiledevice. Cette librairie serait-elle en cause ? Non, selon d’autres spécialistes qui soulignent la reproductibilité du phénomène sous Mac OS X ou Windows.
Si l’accès en lecture aux données évoquées plus haut n’inquiéte que modérément, Bernd Marienfeldt insiste sur la possibilité d’écrire : « cela pourrait permettre de déclencher un dépassement de mémoire tampon », au moins dans une application ; la porte ouverte à l’exécution de code malicieux. Selon ce spécialiste de la sécurité informatique, Apple a été informé de cette faille, a réussi à la reproduire et cherche actuellement à la combler.
Le jailbreak, principale point faible de l’iPhone en entreprise
Se posera alors la capacité du constructeur à faire installer la mise à jour corrective alors que la dernière en date, la version 3.1.3 d’iPhone OS, ne semble pas avoir rencontré un vif succès… au moins jusqu’à la sortie de solutions permettant aisément de lui appliquer un jailbreak, ce processus qui permet de contourner certaines protections mises en place par Apple. Un étape indispensable pour accéder à certains niveaux de personnalisation de l’iPhone et pour accéder à des applications qui n’ont pas reçu l’adoubement du constructeur.
De quoi renforcer la menace que représente déjà cette opération pour les données professionnelles stockées sur l’iPhone, comme le soulignait encore récemment Jim Herbeck, directeur associé de Nouvel Strategies, dans le cadre d’un webcast du Sans. Un souci d’autant plus prégnant que si l’iPhone est d’abord un produit grand public, 40 % des unités vendues seraient destinées aux entreprises, outre Atlantique, selon AT&T. De quoi renforcer l’intérêt pour les solutions d’isolation des données professionnelles.
En complément :
iPhone OS 4 : un remède au jailbreak
Seulement 20 % des entreprises se protègent contre les dangers de l’iPhone
Egalement sur LeMagIT :
Windows XP SP2 : un mois avant la retraite, toujours aussi utilisé