No iOS Zone : une faille de sécurité peut rendre inutilisables les terminaux iOS à portée de WiFi

Malgré sa réputation de système d'exploitation ultra-sécurisé, iOS n'est pas à l'abri des failles plus ou moins dangereuses. Cette assertion est d'autant plus vraie que les fondateurs de Skycure, une entreprise spécialisée dans la sécurité informatique, ont révélé durant la RSA Conference Presentation ce mardi un problème de certificat SSL affectant iOS 8.

La faiblesse en question touche tous les utilisateurs iOS et permet au gestionnaire d'un réseau WiFi de générer des certificats SSL conçus pour faire bugguer un iPhone ou un iPad connecté au réseau en question. L'appareil ainsi ciblé bugguera à chaque lancement d'application utilisant ce certificat... soit une grande majorité de celles disponibles sur l'App Store.

Pire encore ce certificat SSL vérolé peut affecter directement le système d'exploitation lui-même, provoquant un redémarrage de l'appareil. Celui-ci se reconnectant au WiFi lors du lancement du système, redémarre alors en boucle tant qu'il reste à portée du WiFi malfaisant.

Encore faut-il se connecter à ce réseau diront certains. Malheureusement, une autre faille découverte en 2013 et encore active aujourd'hui pousse certains appareils à se connecter automatiquement à des réseaux portant un nom particulier. À titre d'exemple, les iPhone vendus par l'opérateur américain AT&T vont automatiquement tenter de rejoindre un réseau WiFi nommé attwifi. N'importe quel pirate doué peut alors nommer son réseau de la sorte et rendre tous les smartphones de la zone inutilisables...

Pour des raisons évidentes de sécurité, Skycure n'a bien évidemment pas rendu publique la marche à suivre pour déployer un tel certificat SSL sur son réseau WiFi et travaille actuellement main dans la main avec Apple afin de régler cette brèche qui pourrait créer des problèmes de taille si elle était utilisée à mauvais escient dans certains lieux clés, comme un aéroport ou proche de la bourse de Wall Street par exemple.