9 décembre 2013

Sécurisation d’iOS 7

securite mobile

La sortie d’iOS 7 mi-septembre a corrigé de nombreuses vulnérabilités et failles de sécurité de son prédécesseur [1]. Nous présentons ici ces améliorations, et nos recommandations pour accueillir l’iPhone dans l’entreprise à une époque où le BYOD est un besoin qu’on ne peut plus négliger.

 

Touch ID

En matière de sécurité Touch ID est la nouvelle fonctionnalité la plus intéressante de l’iOS 7. Le capteur d’empreintes digitales développé par AuthenTech s’est montré si efficace qu’Apple a sauté sur l’occasion d’acquérir l’entreprise l’année dernière [2]. Touch ID semble, à première vue, un moyen plus sûr que le passcode pour empêcher l’accès à son iPhone, même si quelques inquiétudes ont vu le jour :

  • Un groupe de hacker allemand a réussi à contourner cette sécurité [3]. Cet exploit a été reproduit et la méthode à suivre révélée en détails [4].
  • Une rumeur prétend que les empreintes digitales ne tomberaient pas sous la protection du 5e amendement [5] contrairement aux mots de passe. Ceux-ci (quelque chose que l’on connait) n’ont pas à être révélés aux autorités alors qu’on pourrait exiger que les empreintes (quelque chose que l’on possède) leur soient livrées. Cela n’a d’importance que vis à vis de la justice américaine.
  • Au vu des derniers évènements et révélations, nous pouvons craindre qu’Apple communique sa base d’empreintes digitales à la NSA [6]. Quoi qu’il en soit si vous avez déjà mis le pied sur le sol américain la NSA est en possession de vos empreintes.

La première inquiétude est légitime, puisqu’il est possible de mener une attaque ciblée. Cependant elle est loin d’être triviale et n’est pas à la portée du pickpocket du métro parisien. L’utilisation du Touch ID combinée à un passcode offre un niveau de protection très satisfaisant que nous recommandons dans des cas sensibles. Pour les autres cas d’utilisation, le Touch ID seul est largement suffisant.

Concernant les deux autres inquiétudes, il est certain que tout utilisateur devra avoir conscience que certaines données personnelles le caractérisant se retrouveront dans les serveurs d’Apple et seront potentiellement à disposition du gouvernement Américain. Toutes les personnes qui n’accepteraient pas ce risque ne devraient pas utiliser Touch ID.

 

Activation Lock

L’Activation Lock permet de bloquer l’iPhone à distance . Cela oblige un éventuel voleur à entrer les identifiants Apple pour pouvoir s’en servir. De plus, grâce à la fonction « Find My iPhone », il donne sa localisation géographique. Ce mécanisme est essentiel et doit être impérativement activé.

 

Lockscreen

Il faut savoir que lorsque votre iPhone est verrouillé une partie de vos données personnelles est contenue sur une partition chiffrée inaccessible sans votre « passcode » ou votre empreinte digitale. C’est pourquoi il est capital d’activer le verrouillage automatique pour éviter la fuite de données. Certaines données personnelles ne peuvent cependant pas être chiffrées : les contacts (le nom de l’émetteur de l’appel devant apparaître) et les photos (puisqu’il est possible d’en prendre même en mode verrouillé). Quelques défauts dans le système de verrouillage ont été trouvés permettant d’accéder à ces données, de poster sur Twitter ou Facebook ou de contourner la fonctionnalité « Find My iPhone » en activant le mode avion [7] [8]. Le vecteur d’attaque est la possibilité d’utiliser Siri ou le Control Center en mode verrouillé. Nous recommandons donc la désactivation de Siri et de l’accès au Control Center via l’écran de verrouillage

 

Hotspots personnels

Sous iOS 6 les mots de passe générés par les hotspots personnels étaient faibles et cassables par force brute. iOS 7 génère des mots de passe plus forts. Il est recommandé de générer de nouveau ses éventuels mots de passe d’hotspots personnels préalablement générés sous iOS 6 après la mise à jour.

 

Permissions applicatives

Il est possible d’octroyer des permissions aux applications de façon beaucoup plus granulaire qu’auparavant. On peut notamment restreindre l’accès au micro et au coprocesseur de mouvement M7, mais il existe encore certaines limitations. Il n’est pas possible de restreindre l’accès à la caméra, ni désactiver les iBeacons (permettant de localiser le téléphone de façon bien plus précise que par le GPS) sans désactiver les “Location Services” pour toute l’application. Il est judicieux de faire attention aux applications pouvant être installées sur les iPhones d’entreprise. Une liste blanche d’applications autorisées pourrait être fournie au personnel sensible.

 

juicejacking

Avant l’iOS 7 il était possible d’effectuer une attaque appelée juicejacking. Un attaquant pouvait inclure un BeagleBoard [9] dans un chargeur malicieux permettant d’injecter un malware. Dans l’iOS 7, tout raccordement à un nouvel ordinateur fait apparaître à l’utilisateur un pop-up lui demandant de lui “faire confiance”. Il est bien entendu important de ne faire confiance qu’aux ordinateurs d’entreprise.

 

HTTP Request Hijacking

Récemment la start-up israélienne Skycure [10] dont le produit vise à sécuriser l’intégration des appareils mobiles dans les entreprises a décrit une vulnérabilité affectant les applications communiquant en HTTP avec leur backend [11]. Cette vulnérabilité qui est un simple HTTP Request Hijacking permet à un attaquant de détourner le trafic vers un serveur malicieux et de fournir du contenu forgé. Cela appuie notre recommandation limitant les applications autorisées à être installées et surtout, rappelle la nécessité d’être vigilant quand il s’agit de se connecter à des réseaux dont on ne peut pas être sûr. Il vaut mieux donc utiliser des réseaux Wi-Fi d’entreprise et les réseaux data des opérateurs, et surtout, éviter absolument les réseaux Wi-Fi ouverts ou faiblement sécurisés.

 

Nos recommandations

  • Sensibiliser les détenteurs d’iPhone à ces nouvelles fonctionnalités et aux enjeux de sécurité associés.
  • Activer Touch ID + passcode pour le personnel sensible, Touch ID suffit pour le reste de la population.
  • Activer l’Activation Lock.
  • Ne pas configurer sur l’iPhone le compte mail permettant la remise à zéro des identifiants Apple.
  • Activer le verrouillage automatique au bout de 5 minutes.
  • Désactiver Siri et le Control Center dans l’écran de verrouillage.
  • Ne pas utiliser Facebook ou Twitter sur les équipements sensibles.
  • Regénérer les mots de passe d’hotspots personnels après la mise à jour vers IOS 7
  • Fournir une liste blanche d’applications pouvant être installées par le personnel sensible.
  • Fournir une liste blanche d’applications pour lesquels les “Location Services” et le micro peuvent être activés.
  • Ne charger son téléphone que sur des ordinateurs d’entreprise ou des chargeurs de confiance.
  • Si l’on est amené malgré tout à connecter son téléphone à un ordinateur n’étant pas de confiance pour le charger, ne pas le “truster”.
  • Privilégier les réseaux Wi-Fi d’entreprise et les réseaux data des opérateurs à des Wi-Fi dont on n’est pas sûr.
  • Eviter les réseaux Wi-Fi ouverts ou faiblement sécurisés (WEP, WPA-PSK avec des clés triviales…).

One Comment on “Sécurisation d’iOS 7

Sécurité d’IOS 7 | BSSI Conseil & Audit
18 septembre 2015 chez 14 h 00 min

[…] a corrigé de nombreuses vulnérabilités et failles de sécurité de son prédécesseur [1]. Nous présentons ici ces améliorations, et nos recommandations pour accueillir l’iPhone dans […]

Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *