Un an après l’arrivée d’iOS 11, Apple a sorti hier son remplaçant, iOS 12 !
Les nouvelles fonctionnalités font en général beaucoup parler d’elles, occultant ainsi le fait que les mises à jour iOS, aujourd’hui, sont accompagnées de mises à niveau et de correctifs de sécurité bien utiles pour traiter les vulnérabilités logicielles.
Sophos a présenté, en août dernier, les changements attendus dans iOS 12 en matière de sécurité, mais un rappel rapide ne fera sans doute de mal à personne, étant donné que certains d’entre eux nécessitent une activation de la part des utilisateurs.
Les fonctionnalités à activer
L’une des premières questions posées par iOS 12 lors de l’initialisation est de savoir si les propriétaires souhaitent activer la mise à jour automatique d’iOS. La mise à jour a lieu de toute façon lors des mises à jour majeures, mais sans la mise à jour automatique, il est toujours possible de rater des correctifs pour des problèmes de sécurité qui sont apparus entre deux versions.
Un exemple récent et intéressant, qui illustre bien notre propos, est la mise à jour 11.4.1 qu’Apple a sorti en juillet pour activer le mode USB restreint en réponse aux techniques sensées être utilisées par GrayShift et Cellebrite pour contourner l’écran de verrouillage iOS. En effet, ce dernier est activé par défaut dans iOS 12 mais les utilisateurs qui ont activé la mise à jour automatique auraient pu le récupérer il y a deux mois.
Notre conseil est de l’activer ! Vous pouvez le faire manuellement en accédant à Réglages> Général> Mise à jour logicielle lorsque le mode USB restreint est activé via Réglages> Touch ID et code (Face ID et code sur l’iPhone X)> et assurez-vous que l’option Accessoires USB soit désactivée. Cette option ainsi configurée nécessitera que l’appareil soit déverrouillé avant de connecter, à l’avenir, des périphériques USB, une contrainte que certains pourraient trouver peu pratique, ainsi n’hésitez pas à parcourir les explications d’Apple concernant les raisons d’une telle fonctionnalité.
Une autre nouveauté qui est la bienvenue : les utilisateurs de gestionnaires de mots de passe tiers peuvent désormais profiter de la fonctionnalité de remplissage automatique (autofill) sans avoir à recourir à des copier-coller ou à des Share Sheets complexes. LastPass, iPassword, Dashlane et Keeper ont publié des mises à jour pour rendre disponible la nouvelle API qui rend cela possible.
Cette option doit être activée manuellement via Réglages> Comptes et Mots de passe et en activant Préremplir les mots de passe. L’identification via Face ou Touch ID est toujours nécessaire.
Activé par défaut
Le gestionnaire de mots de passe dans iOS 12 est désormais doté d’une fonction d’audit qui avertit les utilisateurs lorsque le même mot de passe a été réutilisé au niveau d’autres sites web. Ce paramètre permet d’éviter la réutilisation massive des mots de passe, avec la possibilité de générer un mot de passe fort à stocker dans iCloud Keychain (les gestionnaires de mots de passe concurrents peuvent faire la même chose).
Comme promis lors d’une présentation en juin dernier, le navigateur Safari dans iOS 12 renforce sa solution Intelligent Tracking Prevention (ITP) pour limiter la manière dont les entreprises internet majeures (un code pour désigner Facebook ?) collectent des données sur le comportement de navigation.
Les correctifs de sécurité
Le correctif iOS 12, le plus d’actualité, est certainement la faille permettant de répliquer la barre d’adresse du navigateur Safari et Microsoft Edge, que Sophos a présenté la semaine dernière (découvrez également notre vidéo au sujet de l’usurpation d’URL), appelée CVE-2018-4307 (CVE-2018-8383 sur Edge).
La liste complète des CVE se trouve sur le site web d’Apple, mais on trouve d’autres vulnérabilités notables telles que :
- CVE-2018-4363 : Une vulnérabilité au niveau du noyau qui pourrait permettre à une application de lire une mémoire restreinte.
- CVE-2016-1777 : Apple a supprimé la prise en charge du chiffrement du flux cryptographique RC4 après qu’un chercheur ait découvert des faiblesses.
- CVE-2018-4313 : Découverte par un important groupe de chercheurs, celle-ci est une faille au niveau d’une application de capture d’écran dans Messages, grâce à laquelle “un utilisateur local pourrait avoir accès aux messages supprimés d’un utilisateur”.
- CVE-2018-4338 : Une faiblesse Wi-Fi qui pourrait permettre à une application malveillante de lire une mémoire restreinte.
Billet inspiré de iOS 12 is here: these are the security features you need to know about, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.