Une petite faille a été repérée sur iOS au niveau de la demande d'un code d'accès pour déverrouiller l'accès aux restrictions. C'est à dire tous ces réglages (que connaissent bien les parents par exemple) pour limiter l'utilisation de certaines applications ou fonctions de sa tablette.
Un code à quatre chiffres est toujours demandé lorsqu'on souhaite accéder à ces options. Au bout de six essais manqués, le délai pour tenter un nouvel essai est allongé : cela démarre de 1 min et file progressivement à 60 min. Astucieux, Pierre Dandumont a observé que ce délai, bien qu'affiché à l'écran, ne s'appliquait plus dans les faits lorsqu'on utilisait un clavier externe branché à l'iPad plutôt que le clavier virtuel.
Il a alors connecté une petite carte électronique, la Teensy 3.0, capable d'émuler un clavier USB et surtout de générer inlassablement des codes possibles moyennant un bout de code. Cette méthode d'attaque par force brute finit par payer et l'accès se voit déverrouillé. Cela peut prendre quelques minutes à quelques heures mais les probabilités ne s'appliquent que sur une combinaison à quatre chiffres, les lettres n'étant pas acceptées.
La gravité est toutefois relative puisque ce système ne marche qu'à cet endroit - qui n'est pas des plus secrets - et pas dans le cadre d'une volonté de déverrouiller l'accès à l'iPad depuis son écran d'accueil. Lui est immunisé.
- Les détails sont sur le journal du lapin
Un code à quatre chiffres est toujours demandé lorsqu'on souhaite accéder à ces options. Au bout de six essais manqués, le délai pour tenter un nouvel essai est allongé : cela démarre de 1 min et file progressivement à 60 min. Astucieux, Pierre Dandumont a observé que ce délai, bien qu'affiché à l'écran, ne s'appliquait plus dans les faits lorsqu'on utilisait un clavier externe branché à l'iPad plutôt que le clavier virtuel.
Il a alors connecté une petite carte électronique, la Teensy 3.0, capable d'émuler un clavier USB et surtout de générer inlassablement des codes possibles moyennant un bout de code. Cette méthode d'attaque par force brute finit par payer et l'accès se voit déverrouillé. Cela peut prendre quelques minutes à quelques heures mais les probabilités ne s'appliquent que sur une combinaison à quatre chiffres, les lettres n'étant pas acceptées.
La gravité est toutefois relative puisque ce système ne marche qu'à cet endroit - qui n'est pas des plus secrets - et pas dans le cadre d'une volonté de déverrouiller l'accès à l'iPad depuis son écran d'accueil. Lui est immunisé.
- Les détails sont sur le journal du lapin
