La nouvelle faille iOS Sidestepper n'est pas nouvelle et n'est pas une faille selon Apple
Des chercheurs en sécurité disent avoir trouvé une faille dans iOS impliquant le système de gestion de flottes d'appareils (MDM) qui est utilisé en entreprise. En faisant installer une application malveillante à l'utilisateur, le malfrat peut ensuite prendre le contrôle de la configuration MDM de l'appareil, selon Check Point Software.
Par défaut, iOS n'autorise pas l'installation d'applications qui n'ont pas de certificats valides. En revanche, les appareils enrôlés dans un MDM se montrent moins pointilleux sur ce point, puisque c'est l'administrateur du MDM qui est censé vérifier en amont les applications installables en dehors de l'App Store.
L'attaque commence par l'envoi d'un SMS à la victime pour qu'elle installe un nouveau profil de configuration. Une fois ce profil en place, le malandrin peut se placer entre l'utilisateur et l'administrateur du MDM, et ainsi faire installer d'autres applications malveillantes et accéder aux données de l'appareil.
Dans un communiqué transmis à Ars Technica, Apple minimise le problème et rappelle quelques bonnes pratiques :
Il s'agit d'une illustration parfaite d'une attaque par phishing qui tente de tromper l'utilisateur en lui faisant installer un profil de configuration puis une application. Ce n'est pas une vulnérabilité d'iOS. Nous avons mis en place dans iOS des garde-fous qui préviennent l'utilisateur des contenus potentiellement dangereux comme celui-ci. Nous encourageons nos clients à télécharger uniquement des apps à partir de sources sûres, comme l'App Store, et à prêter attention aux messages de sécurité.
Heu dans le cadre MDM c'est pas l'administrateur de parc qui doit gerer le contenu des appareils et installer les applications?
La faille ne serait elle donc pas du coté des entreprises qui reportent le défaut de responsabilité et de compétences du au sous effectif et manque de moyens du service IT sur l'utilisateur?
Bah si c'est justement ce que dis l'article !
Mais là, le malandrin contourne ce dispositif en faisant installer un autre profil de configuration pour permettre l'installation d'applications qui sortent du cadre de l'EMM.
Ce que devrait faire Apple c'est offrir la possibilité aux admins EMM d'interdire l'installation d'un second profil après l'installation de celui de l'entreprise.
Une faille dans iOS? Voyons donc, c'est impossible tout le monde le sait!
@Chanteloux
Si tu ne comprends rien à l'article, ce n'est pas grave : tu peux lire @C1rc3@0rc & @MaTMaC qui t'y aideront :-)
Mais si tu veux rejouer encore et encore à la guerre des boutons,
je ne sais pas si tu trouveras quelqu'un pour t'accompagner. ;-)
Entre ceux qui, fanboys et autres, prétendent que les OS Apple sont inviolables, que El Capitan et iOS tournent comme des horloges, et ceux qui en dénoncent avec joie les bogues, ceux qui croient avoir tout compris, ont érigé Apple en religion et dénigrent Win10, Android, Surface Pro, etc, mais ne l'ont jamais essayé, et ceux qui essaient de comprendre et connaître avec le moins de parti pris possible, entre ces deux mondes il y a de fascinants espaces autistes, vides: c'est là peut-être une des plus puissantes raisons d'être de Macgé