Apple bouche une vulnérabilité touchant iOS en entreprises
Apple vante des « apps ultra-sûres » et une sécurité aux petits oignons pour l’iPhone (lire : Apple l'assure en français : rien ne vaut un iPhone), mais iOS n’est pas exempt pour autant de vulnérabilités. Les chercheurs d’Appthority ont mis le doigt sur une faille susceptible de toucher les terminaux iOS déployés en entreprises.
Pour diffuser des applications et des réglages sur les iPhone de leurs employés, les entreprises passent par des outils de déploiement spécifiques (MDM pour mobile device management ou EMM pour enterprise mobility management). Ces outils permettent aux administrateurs de pousser les apps, les fichiers de réglages ainsi que les règles d’accès aux données sans que les utilisateurs aient à passer par l’App Store.
Ces logiciels et réglages sont diffusés au travers d’un client MDM installé sur chaque iPhone, pour lequel un compte a été préalablement créé. À en croire Appthority, lorsque les applications sont installées par ce biais, leurs fichiers de configuration sont stockées dans un endroit très facile d’accès. Le problème est que ces documents peuvent contenir des URLs sensibles, des identifiants et mots de passe, ou encore des jetons d’accès.
Cette faille permet à n’importe quelle application installée sur un iPhone d’accéder et de lire ces informations, contournant ainsi le sandboxing d’iOS qui fait en sorte d’empêcher une app de consulter les données d’une autre app sans autorisation. Un malandrin astucieux pourrait concevoir un logiciel de prime abord légitime, distribué sur l’App Store (donc validé par Apple), mais qui irait piocher en toute discrétion dans les fichiers de configuration des applications de l’entreprise.
L’impact sur la sécurité des entreprises dépend évidemment du type d’information stockée dans ces fichiers. Prévenu par Appthority en temps et en heure, Apple a heureusement bouché la faille via iOS 8.4.1, les chercheurs n’ayant communiqué sur la vulnérabilité qu’après la mise en ligne de cette version le 13 août. Néanmoins, 70% des appareils iOS en circulation n’ont toujours pas appliqué la mise à jour.
« 70% des appareils iOS en circulation n’ont toujours pas appliqué la mise à jour. »
Guère étonnant, vu le flop 8.3 et 8.4.
Je suis passé directement de 8.2 à 8.4.1.
Nombre de mes collègues, s'étant cassé la gueule sur 8.3 et 8.4, hésitent encore à sauter le pas. Malheureusement, c'est surtout le cas pour les iPad utilisés comme terminal dans la production, donc directement concernés par le problème.
@occam :
C'est quoi le problème avec iOS 8.4 ?
J'étais resté sur iOS 8.1.2 jusqu'à il y a une semaine et honnêtement je nai pas la même impression que toi.
@occam :
Déjà rien que 8.0 avait fait un flop comparé aux autres versions majeures.
Vous avez vu ? Ils viennent de leaker une photo de l'iphone 7 ! La confirmation de l'absence de bouton d'accueil a coup sur ! :D
Ok, je suis partis...
Vous touchez un bonus à chaque fois que vous écrivez "malandrin" et "toquante" ? :-)
@MickaëlBazoge :
TOQUANTE TOQUANTE TOQUANTE TOQUANTE TOQUANTE TOQUANTE ! (Ça me fait plaisir)
@MickaëlBazoge :
Par contre un chaton meurt à chaque fois que tu écris "le Dr. Who".
Le bonus, ce sont les commentaires supplémentaires qui font des remarques sur le choix du vocabulaire :D
Pour moi ios7 m'aurait suffit mais a cause d'un Bug sur Pages je suis passé a 7.2. Et peut être e très bientôt 9. Sinon directement à 10.
Qu'Apple pousse la mise à jour sur plus de versions d'iOS pour que l'adoption soit massive