L'entrée d'iOS 11 est protégé des intrus par une porte très solide, mais pour peu que la clef tombe entre de mauvaises mains, toutes vos données et bien plus qu'on ne l'imagine, vont passer un sale moment.
C'est, brossé à grands traits, le sens du billet publié par Elcomsoft qui édite des logiciels pour déplomber les protections et extraire des contenus, des outils comme en utilisent les autorités et tous ceux qui font commerce de ces prestations.
Sans reprendre pas à pas sa longue démonstration, Oleg Afonin détaille quelques-uns des réglages inaugurés avec iOS 11 qui peuvent donner un accès plus large que précédemment à toute personne en possession de votre téléphone et de la clef pour y entrer.
Premier exemple avec le mot de passe des sauvegardes chiffrées faites depuis iTunes. Ce sésame est toujours stocké dans le téléphone, mais il est possible désormais de le révoquer et le changer depuis ce même téléphone. Chose impossible avant : si l'on perdait son mot de passe de sauvegarde il était impossible d'en créer de nouvelles. Maintenant, le malandrin peut lancer une nouvelle sauvegarde et lui attribuer le mot de passe de son choix. Ensuite, en récupérant le fichier de cette sauvegarde stockée sur son ordinateur, il aura tout loisir de le passer dans l'une des moulinettes d'Elcomsoft pour en extraire les données de sa victime.
La possession du code de déverrouillage de l'iPhone ouvre aussi la possibilité de se connecter avec "Localiser mon iPhone" et d'effacer d'autres appareils iOS associés à ce compte. Ou à accéder aux mots de passe stockés dans safari pour l'identification rapide sur les sites web. Et, ainsi de suite, à plusieurs niveaux.
Évidemment, c'est parfaitement logique : si vous donnez vos clefs à un inconnu, rien ne l'empêchera de fouiner dans votre maison. Ce qui alarme Oleg Afonin c'est qu'il n'y ait pas quelques garde-fous supplémentaires (pour filer la métaphore de la maison, ce serait un système de surveillance dans les lieux). Si la porte est ouverte, tout l'édifice de protection s'effondre tel un château de cartes pris dans un courant d'air.
De son point de vue, en revoyant certains mécanismes de protection et les faisant dépendre de la seule possession du mot de passe de déverrouillage, Apple a rompu l'équilibre qui prévalait entre protection et confort d'utilisation. Il est maintenant plus simple pour un utilisateur étourdi de se dépatouiller d'un problème et, partant, à une personne malintentionnée de faire ce qu'elle veut à tous les étages.
Toute la démonstration repose cependant sur cette idée que la victime a simultanément laissé l'accès physique à son téléphone suffisamment longtemps et révélé son mot de passe d'une manière ou d'une autre. Ce qui relève d'un défaut élémentaire de prudence ou, dit autrement : cumuler les emmerdements.
Ce qui amène au conseil habituel en la matière : prendre la peine de protéger son téléphone avec un code d'au moins six chiffres — et pourquoi pas de type alphanumérique. En le complétant par l'activation de Touch ID ou de Face ID on ne sera même pas obligé de taper trop souvent ce long et complexe sésame.
