Le verrouillage par code ne protègerait pas l'iPhone

Anthony Nelzin-Santos |
skitchedSelon l'expert en sécurité Bernd Marienfeldt, la protection par un code à quatre chiffres d'un iPhone ne garantirait en rien la sécurité des données qu'il contient. Pour résumer, sous la dernière version d'Ubuntu (la 10.04 Lucid Lynx), n'importe quel iPhone 3GS, même mis à jour, même non-jailbreaké, et même protégé par cette option est une passoire.

Il faut tout de même bénéficier d'un accès physique à l'iPhone, mais on peut alors récupérer tout son contenu (musique, images, vidéos, podcasts, enregistrements audio, base de données Google Safe Browsing, données des jeux, etc.), sans laisser aucune trace. Un hacker pourrait aussi accéder à l'intégralité du système de fichiers en lecture/écriture. Ironiquement, le code continue à protéger les fonctions téléphoniques de l'iPhone. Le problème réside dans le sentiment de protection qu'il pourrait procurer à certains : les données, elles, ne sont pas protégées, y compris lorsque l'on utilise le système de chiffrement proposé par Apple.

Apple enquête
Marienfeldt a testé sa découverte sur 3 iPhone 3GS protégés par tel mot de passe à quatre chiffres sous diverses versions d'iPhone OS. Avec Windows 2000 SP2 ou 7, d'anciennes versions d'Ubuntu et sur Mac OS X, il n'a réussi à accéder qu'au dossier DCIM.

Il a évidemment mis au courant Apple, dont les ingénieurs ont réussi à reproduire la faille, qualifiée de « sérieuse ». Les équipes de la firme de Cupertino croient comprendre la raison de ce problème, mais n'ont pas encore indiqué quand une mise à jour le réglant serait disponible.

[maj] : modification du titre (FI)
Tags
#sécurité #iphone 3gs
avatar HAL-9000 | 
Ca craint un peu quand même... La sécurité (iPhone, Safari, Firewall, etc.) est le talon d'achille de la pomme...
avatar CocoaPower | 
@HAL-9000 Le firewall aussi? Safari et iPhone on sait qu'il a des problèmes mais le firewall?
avatar bugman | 
@ HAL-9000 : disons que comme pour leurs concurrents (avec un "s"), Apple n'est pas à l'abri de failles. (Le message passe mieux comme ça AMHA) ;) Mais je plussoie, c'est assez grave comme problème.
avatar divoli | 
Mouarf... Comme quoi, jailbreaker ou ne pas jailbreaker, l'iPhone reste une vraie passoire. Et encore un expert en sécurité qui doit mettre la tête d'Apple dans son caca, d'autant que là c'est une faille assez énorme. Incroyable et inexcusable vu les sommes investies par les consommateurs dans cet appareil.
avatar Anonyme (non vérifié) | 
IL faut un accès PHYSIQUE au portable pour pouvoir avoir accès au contenu. On ne parle pas d'accès par Bluetooth ou wifi.
avatar bugman | 
@ daguetdp : D'un autre coté pour entrer un code PIN aussi. ;) en cas de vol du portable cela peut poser problème.
avatar Anonyme (non vérifié) | 
@ divoli Je n'ai jamais entendu parler de piratage d'iphone non jailbreaké.
avatar daphone | 
`j'espère que le mec a reçu un petit chèque. il le mérite vu le danger que cette faille peut representer
avatar Anonyme (non vérifié) | 
@ bugman Tout a fait d'accord vu comme ça ^^ Il fallait utiliser cette technique sur le prétendu prototype d'iphone HD :-D
avatar divoli | 
@ daguetpd; Ben maintenant c'est le cas (du moins théoriquement, dans la mesure où à ma connaissance il n'y a pas encore eu de victime). Fais plus que jamais attention à ton iPhone, sait-on jamais. @ Daphone; Il a juste dû recevoir une housse pour MBP. Il n'a plus qu'à s'acheter un MBP, maintenant. :p
avatar Sephi-Chan | 
N'est-ce pas normal ? Le code PIN protège la carte et son contenu (c'est donc logique qu'elle bloque les fonctions téléphoniques), pas le téléphone. Pour le contenu du téléphone en lui-meme, c'est plutôt le code de verrouillage qui est en jeu. Sephi-Chan
avatar Benlop | 
J'allais le dire... La protection par code PIN ne protège que la carte SIM, c'est normal. Ça fait depuis que les SIM existent que c'est comme ça... La promptitude de certains à sauter sur cette "info" est assez surprenante, pour ne pas dire plus. Et de toute façon, tout appareil auquel on a accès physique est une cible facile, c'est valable aussi pour tous les ordinateurs.
avatar Nordlaser | 
@Bugman avec un compte MobileMe, on peut effacer l'iPhone à distance, il me semble quelque soit la carte SIM insérée, tant qu'il est connecté au réseau. A vérifier.
avatar eseldorm (non vérifié) | 
Au lieu de parler du PIN… faut lire… on parle du code pour verouiller l'iPhone et non uniquement la SIM. Lorsque les deux options sont activés, deux codes sont demandés au démarrage.
avatar bugman | 
@ Nordlaser : il me semble aussi. Mais deux petites remarques tout de même : 1. Prenons le cas d'un iphone "emprunté" (il est spécifié dans l'article : "sans laisser aucune trace") 2. On peut avoir un iPhone mais ne pas avoir souscrit le service MobileMe. @ Sephi-Chan, @ Benlop : je ne me souvient pas d'un code de sécurité (autre que le PIN) sur l'iPhone (je me trompe peut être, cela fait longtemps que je n'ai plus utilisé le miens). Benlop, plutôt d'accord avec ta dernière phrase, mais il faut certaines compétences et le matériel pour.
avatar liocec | 
Le code PIN n'a jamais eu d'effet sur un téléphone, quelque soit sa marque : c'est une protection de la carte SIM uniquement. Si on veut protéger le téléphone il existe d'autres types de codes. Comme quoi c'est vraiment du n'importe quoi !
avatar liocec | 
@bugman Bien sûr qu'il existe un code dans le menu général, mais personne ne l'active car il faut le retaper tout le temps, c'est un peu le but d'ailleurs.
avatar Arsenal Gear | 
En dehors de ça, vous pouvez me dire ce qu'un code à 4 malheurs chiffres peut faire face à un Hacker ? 4 chiffres, lol, doit pas tenir 5 secondes.
avatar Yohmi | 
J’avoue que je ne pensais pas que le code PIN permettait de protéger un smartphone connecté à un ordinateur. Vu tous les programmes qui existent pour récupérer les données de son iPhone sans fournir le moindre code, ça me paraît évident que via accès physique, on peut tout faire. Et puis qui se balade avec un iPhone éteint ? Mais je présume que c’est une bonne nouvelle pour tous les fous de sécurité de savoir que ce ne sera bientôt plus possible ^^
avatar Poinca | 
Pas besoin d'Ubuntu, je fais la même chose sur mon Mac avec Phone Disk : http://www.macroplant.com/phonedisk/ Il est pas doué votre expert en sécurité :)
avatar Anonyme (non vérifié) | 
Ben le code de sécurité m'est demandé a chaque fois que je déverrouille mon iPhone, et quand on se trompe, au bout de 3 fois tu ne peux plus le taper pendant 3 min, ça recommence au bout de 6 et 9 fois avec a chaque fois plus de temps de blocage, et au bout de 10 fois le contenu du téléphone est effacé. C'est un smartphone, ca contient beaucoup de données personnelles, il faut se protéger et en bloquer l'accès! Taper le code n'est pas pénible quand on a tout cela en tête et qu'on se rend compte que passer 10 secondes a faire ca en vaut bien la peine! Essayez sur le votre, je trouve que ca fonctionne très bien.
avatar Benlop | 
"Mouarf... Comme quoi, jailbreaker ou ne pas jailbreaker, l'iPhone reste une vraie passoire." Hop, on commence directement dans la polémique. "Et encore un expert en sécurité qui doit mettre la tête d'Apple dans son caca," Dans son caca, rien que ça. Lequel ? "d'autant que là c'est une faille assez énorme." Qu'un code PIN ne protège pas un téléphone, ce n'est pas une faille, c'est normal, ça ne protège que la carte SIM. Ton "expert en sécurité", c'est juste un plouc qui veut se faire un coup de pub. "Incroyable et inexcusable vu les sommes investies par les consommateurs dans cet appareil." Oooh oui, divoli à la rescousse des gentils utilisateurs contre le je-m'en-foutiste Apple. Comme tu es généreux et attentionné, avec tes grands mots. Tu en as parlé sur les FORUMS D'ENTRAIDE, j'espère. Ça passe par là, ta Mission de sauvetage des consommateurs lésés. -- Sans dec, bondir en moins de 15 minutes sur un article pour pondre un tel caca nerveux, franchement, c'est puissant. Tout ça pour finir sur une note "je me mets du côté des consommateurs"... C'est beau, on dirait du HAL-9000 et son dernier délire "je suis un humaniste qui veut sauver le monde" (va savoir, il a dû regarder Avatar hier, le bougre).
avatar Newton Pippin | 
je viens juste d'en vivre l'expérience rue de Rivoli, le seul truc qui a protégé mon iPhone sont mes poings, vite cogne le premier cogne non stop cogne toujours plus fort tue les s'il le faut, j'ai les phalanges explosées, mais ces fils de putes de banlieue n'ont rien eu. à bon entendeur messieurs les "caillras" salut...
avatar Anonyme (non vérifié) | 
juste un petit détail... pourrait-on enfin arrêter de confondre "Hacker" et "Cracker" s'il vous plait :D Je sais bien que plusieurs personnes le savent mais le "Hacker" c'est le gentil de l'histoire, il ne cherche qu'à améliorer en apportant quelques modifications alors que le "Cracker" lui cherche vraiment à contourner les protections et à "nuire".. Merci ;)
avatar Bruno de Malaisie | 
Merde! Et moi qui pensais que mon précieux reconnaissait l'empreinte de mes doigts....;)
avatar ricchy | 
"Votre code PIN ne protège pas votre iPhone" Pas plus que beaucoup d'autres téléphones mobiles... "Expert" en sécurité Bernd Marienfeldt… Expert en connerie, oui. Ou comment faire parler de lui en se ridiculisant. Déjà, il faut l'accès physique à l'iPhone… Comme dit par certains, le code PIN est là pour avoir accès à la carte SIM. (contacts / Réseau) rien de plus. 3 code pin erronés > code PUK de 8 chiffres. @eseldorm Tu as raison il faut lire. 0_o Il ne parle absolument pas du code de verrouillage mais que du code PIN.
avatar killlu | 
Franchement, ce n'est même pas un secret, le code pin qui ne protège que la partie téléphonique... D'ailleurs pour un téléphone comme l'iphone aux fonctionnalités plus étendues, j'apprécie de pouvoir avoir la possibilité de m'en servir même sans carte sim insérée...
avatar codeX | 
Dans l'article il est fait mention du code de sécurité et non pas du code PIN, celui qui est destiné à déverrouiller la carte SIM. Comme le dit Poinca, pas besoin d'être un expert, sans doute auto proclamé, pour faire cette manip. M'enfin, ça donnera l'occasion à nos chevaliers lavant plus blanc que blanc de nous distiller leurs remarques sur l'incompétence totale des ingénieurs Apple, sur le peu de sérieux de cette entreprise, sur le prix scandaleux de l'iPhone, sur ....... Réjouissez vous. Un grand week-end se prépare.
avatar momo-fr | 
Un article somme toute étrange, car effectivement l'intitulé ne dit rien d'autre qu'une vérité bien banale, le code PIN est une protection de la carte SIM, pourquoi crier au loup ?
avatar puccini | 
Avant l'ère informatique on n'emmenait avec soit que les dossiers dont on avait besoin le jour-même. Là on se trimballe avec le bureau entier, la compta, les adresses, les photos de la maîtresse (euh non ça je les efface ;-) ) etc... Du coup effectivement le fait de perdre son phophone peut être problématique. D'où la fonction Find my iPhone et effacer à distance...
avatar spacetito | 
C'est quoi cet article ? C'est quoi ce boulet Marienfeldt ? Non serieusement, le code PIN c'est le code de la carte sim, ça empeche son utilisation point final. Il faut être completement idiot pour croire a autre chose, absolument n'importe quel object avec un accès physique est vulnerable... Moi j'ai aucun problème de sécurité, j'ia me.com et Find myiphone aucun risque JAMAIS. Par contre vous voulez ine info qui touche bien plus de monde qui est du même genre mais dont personne ne parle ? Fermer sa voiture a clef n'empeche pas de se faire volé les jantes, siphoné le reservoir et cambriolé sa maison balot non, ça merite un article ?
avatar ziggyspider | 
Impardonnable, intolérable, scandaleux, … la version 10.04 d'Ubuntu est sortie il y a 2 ou 3 mois, mais depuis 3 ans Apple aurait dû prévoir cela. Vous me faite bien rire, tout le monde va se mettre à Ubuntu pour mater le contenu de l'iPhone du voisin.
avatar Bibotonio | 
Franchement déçu de lire un article pareil sur Macgé... On dirait que c'est uniquement pour faire du buzz autour de l'iPhone en disant des âneries. Comme dit à plusieurs reprises, un code PIN ne protège que la carte SIM et son contenu, et donc uniquement la partie téléphonie pour empêcher une personne mal intentionnée de passer des coups de fil à l'autre bout du monde et vous faire péter votre abonnement. Un code PIN sur un portable ça ne sert qu'à ça et rien qu'à ça. http://fr.wikipedia.org/wiki/Numéro_d%27identification_personnel (dernières lignes) Expert ?... Oui mais bien sûr... et moi je suis le fiancé de Lady Gaga...
avatar sebastiano | 
Tout a déjà été dit. Le code PIN ne sert pas à protéger des données. Être expert n'autorise pas à distiller des conneries pareilles. Apparemment, beaucoup se servent du succès d'Apple pour faire leur buzz.
avatar Bigdidou | 
Moi j'ai découvert une faille de sécurité énorme. On peut détruire un iphone avec un tranchoir à viande, sans avoir le code PIN, et détruire ainsi toute les précieuses données de l'utilisateur. La seule condition, c'est d'avoir un accès physique à la machine. J'ai écrit à Apple qui croit connaître l'origine du problème. Je comprend mal l'anglais, c'est dommage, mais j'ai l'impression qu'Apple est très content que je leur ai signa lé la faille. Ça veut dire quoi au fait "amazing stupidity" et "kind of crap ?"
avatar alan63 | 
Votre code PIN ne protège pas votre iPhone un coque de protection non plus en cas de chute une bouee encore moins s il le dit iPhone tombe dans votre piscine un scandale de plus chez Apple
avatar BlackSmileFR | 
Salut à tous !!! Juste pour compléter l'article qui est en effet un peu (beaucoup) mal tourné !!! Effectivement il y a un sérieux problème de sécurité sur l'iPhone !!! il n'est pas lié au code PIN mais au système de chiffrement des données qui est censé prévenir toute tentative de lecture de celui-ci par une autre machine que celle reconnu et paramètré !! Il semble possible de lire n'importe quel iPhone, la faille mise à jour sous ubuntu 10.4 permet en effet simplement en le branchant de naviguer dans les dossiers de celui-ci directement sous Nautilus (notre équivalent à finder sous gnome) mais on peut lire d'autres dossiers et pas seulement le dossier DCIM. N'insultez donc pas ce type qui a soulevé un véritable problème et qu'Apple à même reconnu !!!! Mac Gé vous déconnez là !!
avatar Anonyme (non vérifié) | 
Comme tous les autres téléphones portables ! :)
avatar moonwalk9r | 
Il me semble même, qu'on peut enlever la SIM et avoir accès au contenu de l'appareil...
avatar Anonyme (non vérifié) | 
@BlackSmileFR : j'ai précisé les choses, qui n'étaient il est vrai pas claires. La phrase : « Le problème réside dans le sentiment de protection qu'il pourrait procurer à certains » est devenue : « Le problème réside dans le sentiment de protection qu'il pourrait procurer à certains : les données, elles, ne sont pas protégées, y compris lorsque l'on utilise le système de chiffrement proposé par Apple. ». C'est en tout cas comme ça qu'il expose les choses : vous avez un code PIN, vous avez activé le chiffrement (et vous devez donc entrer un 2è code), mais vos données sont toujours exposés. Il y a donc un problème, Apple doit le régler.
avatar lemail2mi | 
L'article ne parle pas du pin de la carte sim mais bien du code pour bloquer l'iphone. Ce n'est pas spécifique à ubuntu mais à tous les systèmes qui utilisent libmobiledevice dans sa dernière version (http://www.libimobiledevice.org/). Les développeurs sur leur site parle de ce problème de sécurité, disent qu'il n'ont pas pu le reproduire mais pensent que ça pourrait être lié à un bug au démarrage de l'iphone.
avatar ben865 | 
@ ricchy : les contacts iPhone (non jailbreaké) ne sont pas enregistrés sur la carte SIM... !
avatar Damze | 
De toute manière, quoi qu'on fasse, un hacker possèdant un iPhone (ou tout autre téléphone) physiquement, pourra toujours accéder à son contenu...Crypté ou pas. Le cryptage le retardera sans-doute mais il y a toujours un moyen de contourner. C'est surtout pour un téléphone volé, mais je doute que les "voleurs" d'iPhone soit des crack en sécurité informatique...
avatar Shralldam | 
Comme nos amis angliches le disent : "Don't feed the troll."
avatar Mektoub | 
On parle ici de l'option "verrouillage par code" dans les réglages généraux. Le titre de l'article est ambigu.
avatar Sephi-Chan | 
@ Mektoub C'est l'article entier qui était ambigu, jusqu'à sa correction après une quarantaine de commentaires. Quant au premier commentaire, posté 4 minutes après la publication de l'article, c'est vraiment pas crédible… Soit son auteur a réagit bien vite à une news incorrecte sans prendre la peine de réfléchir, soit il a lu l'article original vraiment très rapidement. Comme quoi certains vont bien vite en besogne. Sephi-Chan, [i]Ah la crédibilité, dans ta gueule ![/i]
avatar iNabil | 
si j'ai bien compris, il faut pretter son iphone à un hackeur pour qu'il accède à nos données... perso je trouve pas que ce soit si gênant que ça, et si on a vraiment des trucs importants sur son iphone avec l'abonnement mobileme on peut effacer son contenu a distance au cas où on nous le vole
avatar Shepherd | 
[quote=ipod62] juste un petit détail... pourrait-on enfin arrêter de confondre "Hacker" et "Cracker" s'il vous plait :D Je sais bien que plusieurs personnes le savent mais le "Hacker" c'est le gentil de l'histoire, il ne cherche qu'à améliorer en apportant quelques modifications alors que le "Cracker" lui cherche vraiment à contourner les protections et à "nuire".. Merci ;) [/quote] La terminologie diverge parfois, on parle volontiers de hackers blancs (les bons) et de hackers noirs (les mauvais). Oui, les crackers sont des casseurs de protections, mais tous ne cherchent pas forcément à nuire (à part au CA de l'éditeur visé), même si les versions des logiciels "crackés" contiennent souvent des menaces (troyens et autres joyeusetés). Les gens ne se rendent pas toujours compte que chacun peut avoir sa spécialité. A titre d'exemple, une organisation cybercriminelle peut acheter une vulnérabilité découverte par Paul et demander à Jacques d'écrire un code pour l'exploiter.
avatar Nesus | 
Non c'est un hackeur qui utilise la dernière version d'unbuntu. >Qui est sortie il n'y a pas longtemps. On voit mal comment apple aurait pu découvrir un truc pareil d'elle même. Aucun doute que cela soit vite corrigé. Avoir une faille dans l'iPhone pourrait se révéler une catastrophe pour celui-ci. Même aussi minime soit-elle. Il y a bien trop de détracteur d'apple aujourd'hui pour que ça passe sans problème.
avatar Armas | 
A mes yeux, ce n'est pas vraiment une première

Pages

CONNEXION UTILISATEUR