S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Fraunhofer : le code PIN est récupérable dans l'iPhone

L'hacker est déclarée

L’institut Fraunhofer s’en prend une nouvelle fois à Apple sur la sécurité de l’iPhone. Il s’agit cette fois du code PIN, que l’institut reproche à la firme de stocker dans iOS sous la forme d’une chaine de caractères stockée de manière permanente dans le système.

Fraunhofer épingle Apple sur la sécurité pour la seconde fois

Ce n’est pas la première fois que Fraunhofer pointe du doigt Apple sur des questions de sécurité. En février 2011, nous avions ainsi relayé une accusation portant sur l’enregistrement des mots de passe dans le système. Selon l’institut, il suffisait de jailbreaker le téléphone et de faire quelques manipulations pour récupérer l’ensemble des mots de passe stockés par l’utilisateur. Une faille de sécurité devait être exploitée, mais aucune protection n’avait besoin d’être expressément cassée.

 

Le nouveau cas est en quelque sorte similaire. Apple a choisi pour des raisons de simplicité de stocker dans une chaine de caractères le code PIN de l’utilisateur. Ce stockage se met en place du démarrage du téléphone à l’extinction complète, dès que le code a été entré par l’utilisateur. Un choix expliqué par la volonté de faire revenir l’utilisateur le plus vite possible sur l’écran d’accueil en cas de plantage du téléphone. En outre, si le plantage se fait pendant que l’utilisateur n’est pas là, le téléphone est déjà prêt pour son utilisation suivante. Des explications d’ailleurs fournies par Apple-même dans un document publié en mai. Notez que le stockage de la clé permet de ne pas redemander le code PIN à la sortie du mode Avion (coupure de toutes les connexions).

Une chaine de caractères disponible trop facilement

Seulement voilà, le stockage d’une donnée de sécurité est toujours délicat. Pour Fraunhofer, Apple n’a pas respecté les règles de base en la matière. L’institut a été capable d’aller récupérer la chaine de caractères et de la lire, même si le téléphone était verrouillé. Puisque la chaine doit être disponible et peut donc être trouvée sans devoir contourner des protections particulières.

 

L’institut accuse doublement Apple sur ce point. En effet, non seulement la firme n’a pas réfléchi aux implications de cette fonctionnalité, mais elle ne respecte même pas les spécifications ETSI/3GPP des cartes SIM qui décrivent justement comment ces dernières doivent être gérées et protégées. La section 5.3 de ces spécifications indique qu’un code PIN ne doit être stocké que de manière temporaire pour être utilisé facilement dans le déverrouillage des fonctionnalités. Une fois l’opération effectuée, l’équipement doit procéder à l’effacement des données associées.

 

H-Online, qui relève l’information, souligne que les possesseurs d’iPhone (et d’autres smartphones d’ailleurs) ont tendance à choisir comme code de déverrouillage du téléphone le même que pour la carte SIM. Le danger s’accroit nettement quand on marie ce problème de sécurité à l’arrivée massive des solutions de paiement NFC (Near Field Communication).

 

Reste qu’évidemment un pirate quelconque doit avoir un accès physique au téléphone, connaître la technique et avoir le temps de la mettre en place. À voir maintenant si Apple compte réagir, en particulier si le futur iPhone 5 embarque à son tour une puce NFC et une solution de paiement sans contact.

Source : H-Online
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 19/07/2012 à 15:41

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 97 commentaires

Avatar de oposs INpactien
oposs Le jeudi 19 juillet 2012 à 15:48:26
Inscrit le lundi 11 octobre 04 - 9248 commentaires
Question bete mais y a des gens qui utilisent le code PIN? Parce que je me souvenais meme pas que ca existait pour les SIMs et apres verification c'est a Non par defaut sur mon iPhone.
Avatar de lava INpactien
lava Le jeudi 19 juillet 2012 à 15:50:56
Inscrit le jeudi 11 juin 09 - 598 commentaires
Question bete mais y a des gens qui utilisent le code PIN? Parce que je me souvenais meme pas que ca existait pour les SIMs et apres verification c'est a Non par defaut sur mon iPhone.


Chaque fois que je rallume mon téléphone...
Tu n'as rien comme "protection" sur ton tel toi?
Commentaire de remixtech supprimé le 19/07/2012 à 15:55:01 : Troll ou incitation au troll
Avatar de misterB INpactien
misterB Le jeudi 19 juillet 2012 à 15:54:02
Inscrit le vendredi 22 octobre 04 - 145758 commentaires


Chaque fois que je rallume mon téléphone...
Tu n'as rien comme "protection" sur ton tel toi?

Perso j'ai rien
Avatar de ze_fly INpactien
ze_fly Le jeudi 19 juillet 2012 à 15:54:20
Inscrit le lundi 5 mars 07 - 1274 commentaires
Mon code PIN est introuvable: 0000



Le Roi de la Sécurité, jvous dis

Edité par Ze_Fly le jeudi 19 juillet 2012 à 15:55
Avatar de the true mask INpactien
the true mask Le jeudi 19 juillet 2012 à 15:56:07
Inscrit le mardi 16 août 11 - 1469 commentaires
De toute manière, Apple, la technique ça n'a jamais été leur truc..


Ils concilient la technique et la simplicité d'usage
Le meileur des deux mondes

Edité par The True mask le jeudi 19 juillet 2012 à 15:56
Avatar de oposs INpactien
oposs Le jeudi 19 juillet 2012 à 15:56:35
Inscrit le lundi 11 octobre 04 - 9248 commentaires


Chaque fois que je rallume mon téléphone...
Tu n'as rien comme "protection" sur ton tel toi?

Non, enfin si un bumper mais j'imagine que c'etait pas la question

Edité par oposs le jeudi 19 juillet 2012 à 15:57
Avatar de remixtech INpactien
remixtech Le jeudi 19 juillet 2012 à 15:57:57
Inscrit le dimanche 21 mars 04 - 411 commentaires


Ils concilient la technique et la simplicité d'usage
Le meileur des deux mondes


Excuse ma phrase est un peu rapide. Les ingénieurs de chez Apple ont fait des miracles au démarrage de la boîte.
Mais depuis quelque temps, l'innovation n'est pas leur fort tout comme la technique. Mettre un écran HD, intégrer les MMS, le copier coller ou encore la 3g+ et appeler ça une révolution pour un physicien comme moi c'est à se pisser dessus.




Chaque fois que je rallume mon téléphone...
Tu n'as rien comme "protection" sur ton tel toi?


Non moi je n'ai plus rien depuis des années déjà...

Edit : On dirait que mon premier message n'est pas passé. Pourtant je voulais pas faire le hater's.

Edité par remixtech le jeudi 19 juillet 2012 à 15:59
Avatar de arkansis INpactien
arkansis Le jeudi 19 juillet 2012 à 15:58:03
Inscrit le jeudi 1 avril 04 - 3202 commentaires
Même si c'est une piètre sécurité, il faut toujours laisser un code (et autre que 0000 ou 1234 ).

Si vous vous faites tirer votre portable le voleur à le temps de vous faire fumer la facture si vous n'êtes pas illimité même si généralement je pense que la plupart cherchent à jeter directement la SIM...
Avatar de lava INpactien
lava Le jeudi 19 juillet 2012 à 15:58:10
Inscrit le jeudi 11 juin 09 - 598 commentaires
Disons que sur un "vieux" téléphone (non tactile et juste pour des message/appel), c'est une des rare protections.
Vu que la sortie de veille se fait sans mot de passe ou autre, je trouve ça un peu plus prudent d'avoir au moins un "mot de passe" à un endroit.

Mais je suis surpris quand même que vous n'en mettiez pas...
;