Apple vante des « apps ultra-sûres » et une sécurité aux petits oignons pour l’iPhone (lire : Apple l'assure en français : rien ne vaut un iPhone), mais iOS n’est pas exempt pour autant de vulnérabilités. Les chercheurs d’Appthority ont mis le doigt sur une faille susceptible de toucher les terminaux iOS déployés en entreprises.
Pour diffuser des applications et des réglages sur les iPhone de leurs employés, les entreprises passent par des outils de déploiement spécifiques (MDM pour mobile device management ou EMM pour enterprise mobility management). Ces outils permettent aux administrateurs de pousser les apps, les fichiers de réglages ainsi que les règles d’accès aux données sans que les utilisateurs aient à passer par l’App Store.
Ces logiciels et réglages sont diffusés au travers d’un client MDM installé sur chaque iPhone, pour lequel un compte a été préalablement créé. À en croire Appthority, lorsque les applications sont installées par ce biais, leurs fichiers de configuration sont stockées dans un endroit très facile d’accès. Le problème est que ces documents peuvent contenir des URLs sensibles, des identifiants et mots de passe, ou encore des jetons d’accès.
Cette faille permet à n’importe quelle application installée sur un iPhone d’accéder et de lire ces informations, contournant ainsi le sandboxing d’iOS qui fait en sorte d’empêcher une app de consulter les données d’une autre app sans autorisation. Un malandrin astucieux pourrait concevoir un logiciel de prime abord légitime, distribué sur l’App Store (donc validé par Apple), mais qui irait piocher en toute discrétion dans les fichiers de configuration des applications de l’entreprise.
L’impact sur la sécurité des entreprises dépend évidemment du type d’information stockée dans ces fichiers. Prévenu par Appthority en temps et en heure, Apple a heureusement bouché la faille via iOS 8.4.1, les chercheurs n’ayant communiqué sur la vulnérabilité qu’après la mise en ligne de cette version le 13 août. Néanmoins, 70% des appareils iOS en circulation n’ont toujours pas appliqué la mise à jour.
Source :
