iOS : une faille pour contourner le contrôle parental

Nos collègues de Tom’s Hardware viennent de faire une découverte assez surprenante dans iOS, puisqu’il s’avère qu’ils ont exploité une faille dans le contrôle parental des iPhone et iPad. Ils sont en effet parvenus à contourner les restrictions d’un contrôle parental en place en forçant le mot de passe par force brute.

La protection mise en place par Apple semblait pourtant difficilement attaquable : bien que le mot de passe à quatre chiffres ne propose que 10 000 combinaisons différentes, une sécurité supplémentaire a été pensée. Après plusieurs erreurs d’affilée, le clavier virtuel est désactivé pendant une minute, et le temps de blocage s’allonge ensuite après chaque erreur jusqu’à atteindre une heure. Cette mesure est justement censée empêcher de cracker le mot de passe par force brute, qui consiste à essayer toutes les combinaisons possibles jusqu’à trouver la bonne, mais une faille vient prouver le contraire.

En effet, si le clavier virtuel est bien bloqué après un certain nombre d’erreurs, il n’en est pas de même en ce qui concerne un clavier physique. Ainsi, il est possible de connecter un clavier en Bluetooth ou en USB via un adaptateur, et de l’utiliser même si le clavier virtuel a été bloqué. Évidemment, cela permet également de multiplier les essais pour tenter de découvrir le mot de passe, et même d’utiliser la force brute en systématisant l’attaque. C’est d’ailleurs ce que Tom’s Hardware a tenté, avec succès, au moyen d’une carte Teensy 3.0, capable d’émuler un clavier USB.

Si cette faille montre bien les possibilités qu’offrent des appareils externes connectés à un iPad ou iPhone, elle a toutefois une portée assez limitée. En effet, il sera bien possible de contourner le contrôle parental avec un peu de patience, mais le code utilisé pour verrouiller l’écran d’accueil n’est pas vulnérable à ce genre d’attaque. Cette faille fonctionne néanmoins dans la dernière version d’iOS (6.1.3).

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
    Votre commentaire