Les experts mobiles forensiques ont récemment découvert une nouvelle fonctionnalité de sécurité majeure, en se promenant au sein de la version bêta de la prochaine version iOS 11.4 d’Apple, bientôt disponible.
Cette dernière s’appelle le mode “USB Restricted” : une fonctionnalité qui est apparue dans la version bêta d’iOS 11.3 mais qui n’a pas été intégrée à la version finale. La fonctionnalité coupe la connexion des données USB au niveau du port Lightning si le périphérique n’a pas été déverrouillé depuis une semaine. L’appareil peut toujours être rechargé via la connexion USB, mais après 7 jours, il ne donnera plus d’accès aux données sans un passcode, signifiant ainsi qu’au moins certaines techniques pour utiliser des backdoors afin de dérober des données ne fonctionneront plus.
Les experts d’ElcomSoft ont trouvé une explication concernant cette fonctionnalité dans une documentation d’Apple :
Pour améliorer la sécurité, et pour qu’un appareil iOS verrouillé puisse communiquer avec des accessoires USB, vous devez connecter un accessoire externe, via un connecteur Lightning, à l’appareil lorsque celui-ci est déverrouillé, ou bien saisir le code d’accès de votre appareil lorsqu’il est connecté, et ce au moins une fois par semaine.
Si l’appareil est déverrouillé avec un mot de passe, le transfert de données via USB sera réactivé. Mais une fois que le port Lightning a été désactivé pendant une semaine, les cybercriminels ou les enquêteurs ne pourront pas accéder aux données en synchronisant l’appareil avec un ordinateur ou un accessoire USB. Sans un code d’accès pour déverrouiller l’appareil, ils ne pourront même pas y accéder à l’aide d’une sauvegarde de synchronisation iTunes existante, utilisé pour reconnaître les ordinateurs “approuvés” par l’appareil, également connu sous le nom de sauvegarde de verrouillage.
Comme l’a expliqué le chercheur d’ElcomSoft, Oleg Afonin, les experts forensiques ont trouvé que les sauvegardes de synchronisation étaient “extrêmement pratiques” pour extraire les données d’un appareil sans avoir à le déverrouiller avec un code, une empreinte digitale ou un visage connu.
Les sauvegardes de verrouillage ne sont pas infaillibles quand il s’agit d’entrer dans les téléphones sans ces techniques de déverrouillage, mais d’anciens dossiers sont de plus en plus utilisés par la police ou les voleurs. En effet, Afonin a mentionné l’utilisation d’un dossier de verrouillage vieux d’un an, mais aujourd’hui la situation a changé. Dans iOS 11.3 beta Release Notes, Apple a indiqué qu’il ajoutait une date d’expiration aux sauvegardes de verrouillage.
Dans un article publié mardi, Afonin a déclaré qu’il n’était pas encore clair si les techniques de déblocage d’iPhone, développées par des équipes telles que Grayshift et Cellebrite seraient bloquées par le nouveau mode “USB Restricted” d’iOS 11.4.
Selon les documents marketing signalés par Grayshift, son outil de déverrouillage de l’iPhone X et 8 est appelé GrayKey. Grayshift prétend que son logiciel fonctionne avec des iPhones désactivés, qui est l’état dans lequel un iPhone se trouve lorsqu’un mot de passe a été saisi incorrectement plusieurs fois.
Les forces de l’ordre qui utilisent un outil comme GrayKey n’ont apparemment besoin que de deux choses pour entrer dans un appareil iOS : un accès physique et suffisamment de temps. Comme Forbes l’a signalé, l’outil pourrait pirater Secure Enclave d’Apple : la puce isolée dans les iPhones qui gère les clés de chiffrement. Secure Enclave fait perdre du temps lors des attaques de téléphones par brut force en augmentant progressivement le temps entre les tentatives : jusqu’à une heure pour la neuvième tentative et ainsi de suite.
Le nouveau mode “USB Restricted” d’iOS 11.4 réduit considérablement le temps dont les enquêteurs disposent pour pénétrer dans un appareil iOS. Comme l’a noté TechCrunch, le FBI a trafiqué pendant des mois le téléphone du terroriste et meurtrier de San Bernardino, Syed Rizwan Farook, avant d’entrer dans son iPhone 5C, portant l’affaire devant les tribunaux, et déclenchant un conflit majeur contre le chiffrement.
On dirait que le FBI, et les autres, vont devoir accélérer leurs investigations avec le délai de sept jours que propose cette nouvelle fonctionnalité de sécurité, en supposant bien évidemment qu’il en soit ainsi dans la version finale.
Billet inspiré de iOS 11.4 to come with 7-day USB shutout, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.