L’anecdote venue de Shanghai tourne à fond depuis hier : une maman chinoise a confié son iPhone à son enfant de deux ans, pour qu’il regarde des vidéos éducatives en ligne. Mal lui en a pris, elle a retrouvé son appareil bloqué, avec l’obligation
d’attendre 47 ans pour saisir à nouveau son mot de passe1. L’explication avancée est qu’à un moment donné, le téléphone a dû se verrouiller automatiquement et que le môme a tapé jusqu’à plus soif des codes de déverrouillage erronés. iOS est conçu pour qu’à chaque code faux, il allonge le délai d’attente jusqu’à la prochaine tentative. Une manière de décourager les voleurs (cette disposition fut aussi à
l’origine de l’affaire entre Apple et le FBI qui voulait accéder très rapidement au contenu d’un téléphone verrouillé) : Comme le rappelle le guide de la sécurité d’iOS (pdf), la chronologie est la
suivante : On le voit, sauf à avoir laissé l’enfant sans surveillance pendant très longtemps (ce qui serait un autre problème pour la maman), il est difficile de cumuler des millions de minutes. C’est
difficile mais pas impossible si, après avoir regardé des vidéos et joué à deviner le code, le petit ange a complètement déchargé le téléphone. Il peut arriver que l’horloge interne se cale sur l’année « zéro », à savoir le 1er janvier 1970. Une fois rallumé et rechargé, le système de protection a pu se croire projeté en arrière dans le temps et il aura affiché ce délai surréaliste (le South China Morning Post explique justement que l’histoire s’est passée en janvier, ce
qui collerait avec cette hypothèse). Enfin, ce genre de mésaventure est relativement courant, on en trouve pas mal sur le web, un peu tous les ans et même avec des iPod touch.
Mise à jour : Apple indique que les résultats obtenus sont erronés,
voir MàJ en fin d’article
Hickey, chercheur en sécurité, a récemment montré en vidéo qu’un iPhone sous
iOS 11.3 peut très simplement être piraté, sans même l’outil
GrayKey
dévoilé il y a peu par la firme Grayshift. La technique se
base sur l’utilisation d’un clavier externe branché en
Lightning sur l’iPhone et profite d’une faiblesse
d’iOS, qui permet des tentatives illimitées de code
de dérouillage via clavier externe, alors même que l’appareil devrait
supprimer son contenu une fois les 10 essais effectués.
Un appareil iOS peut être configuré de telle façon qu’au bout de 10
tentatives infructueuses pour le code de déverrouillage, tout son contenu est
supprimé. Ce réglage peut s’activer dans Réglages >
Touch ID et
code, tout en bas de la page avec "Effacer les données".
Mais Matthew Hickey a prouvé qu’avec un clavier externe, branché en
Lightning, il est possible d’entrer un nombre infini de codes de
déverrouillage et donc de laisser un logiciel en essayer autant que
possible, à la chaine, jusqu’à trouver le bon. Selon la technique du
spécialiste, le rythme de tentatives serait de 100 codes à 4 chiffres
par heure.
Il affirme que cela fonctionne pour débloquer n’importe quel appareil iOS,
même ceux sous la récente version 11.3 du système.
Il faut savoir que le boitier GrayKey, au fonctionnement
gardé secret, utilise également le port Lightning d’un appareil iOS pour en
récupérer son contenu. Il serait possible d’ailleurs que
cette solution de
Grayshift profite de la même faille que celle mise en lumière par Hickey dans
sa vidéo.
Toujours est-il qu’Apple a promis dans iOS 12,
l’intégration d’une nouvelle limite pour l’accès au port Lightning. En
fait, avec cette nouvelle version du système, une fois un appareil iOS bloqué,
aucun accessoire tiers ne pourra utiliser le port
Lightning au-delà
d’une fenêtre de 60 minutes. Cette limitation ne concernera pas les
accessoires de recharge cependant.
Il se pourrait même que cette protection apparaissant avant iOS 12, dans iOS
11.4.1. Par ailleurs, depuis iOS 11.4, une
fonctionnalité de blocage similaire est en place, mais à l’intervalle de
temps beaucoup plus grand, laissant une
utilisation possible du port Lightning
par un accessoire pendant 7 jours après verrouillage de
l’appareil.
En revanche, Grayshift aurait déjà annoncé, coup de bluff ou non, être
capable
de passer outre cette protection d’iOS 12…
- Mise à jour : Apple a indiqué à
AppleInsider que les résultats montrés sont erronés : "The recent
report about a passcode bypass on iPhone was in error, and a result of
incorrect testing".
À lire également
notre
résumé de la conférence de la WWDC 2018, ainsi que tous nos articles iOS 12 ici, dont les suivants :
iOS 12, le plus important
- Vidéos :
conférence de lancement iOS 12 résumée en 14 minutes, les clips Apple et les
Memojis par iJustine
Quels seront les iPhone et iPad compatibles avec iOS 12, les Apple Watch
compatibles WatchOS 5- Déjà
près de 50 nouveautés détectées dans iOS 12 : la liste !
Apple a annoncé des performances améliorées avec iOS 12 : premiers retours
et tests encourageants !- Quelle
différence de vitesse entre iOS 11 et iOS 12 sur un iPhone X ?
Vidéo
Nouveautés applications iOS 12
- Les
"Favicons" arrivent sur Safari Mac, mais aussi sur iOS 12 : découverte en
images !
Démo et test vidéo de l’appli "Measure" d’iOS 12 : pour tout mesurer en
Réalité Augmentée- L’App Store
d’iOS 12 va (enfin) suggérer des apps plus pertinentes - Avec iOS
12, Siri s’ouvre aux players tiers comme Spotify
iOS
12 : dans iMessage, les photos s’enrichissent d’effets, de retouche et
d’ajout de texte
iPhone X
- Fermeture
d’apps et Face ID enrichi : les nouveautés spéciales iPhone X d’iOS
12 - Un iPhone X
contrôlé du regard, grâce aux dernières fonctions de Réalité Augmentée iOS
12
Nouveaux réglages
- Les
mises à jour d’iOS peuvent être activées automatiquement à partir d’iOS
12 - De
nouveaux graphes pour surveiller sa consommation batterie ajoutés à iOS
12
L’intégration des gestionnaires de mots de passe rendue plus efficace par iOS
12 ?
iPad
- L’iPad X en
approche : dans iOS 12, des traces évidentes de l’arrivée d’un iPad au
design d’iPhone X - Deux
nouvelles (anciennes) apps pour l’iPad avec iOS 12
13- juin
Mais encore
- Nouveau
fond d’écran coloré livré avec iOS 12 : à télécharger ici pour iPhone et
iPad en attendant la sortie - Le
3D Touch pas complètement oublié dans iOS 12 : 2 raccourcis
ajoutés
Avec iOS 12, les AirPods vont pouvoir servir d’aide auditive : les détails
en images
Apple durcit la protection contre les boitiers de déverrouillage à brancher sur
iPhone : 1h maxi sous iOS 12
Source
i-nfo.fr - App officielle iPhon.fr
Par : Keleops AG
Rédacteur pour iPhon.fr, opérant parfois sous le pseudonyme de Snooz. Pierre est tel Indiana Jones, à la recherche de l'astuce iOS perdue. Également utilisateur Mac de longue date, les appareils Apple n'ont en somme pour lui aucun secret. Pour me contacter : pierre[a]iphon.fr