iOS : une faiblesse dans la gestion du code PIN
Le Fraunhofer Institute for Secure Information Technologoy a mis en évidence une faille dans iOS (versions 4 à 5.1.1) permettant de récupérer le code PIN de la carte SIM d'un iPhone jailbreaké avec un minimum d'effort (du point de vue bien sûr d'un spécialiste informé) et même s'il est verrouillé.
H Online qui relate cette découverte (via PC INpact) rappelle que des utilisateurs ne s'embarrassent pas à définir deux codes différents pour le verrou de leur iPhone et celui de leur carte SIM. Et dès l'instant où l'on découvre le second, on peut deviner le premier. Potentiellement aussi cela peut poser un problème avec les futurs modes de paiement sans contact qui s'appuient aussi sur la carte SIM.
Apple, pour des raisons de confort pour l'utilisateur, stocke les 4 chiffres de ce code PIN dans le trousseau système et il n'en sont effacés qu'après une extinction complète et normale du terminal. En revanche, en cas de plantage ou lors de la sortie du mode avion, ce code est déjà disponible et l'utilisateur n'est donc pas invité à le ressaisir systématiquement.
Une approche qui a ses avantages, mais qui contrevient à des standards de gestion du stockage de ce code PIN sur les mobiles qui établissent qu'il doit être effacé dès que le code a été entré et qu'il n'est plus immédiatement requis.
Le Fraunhofer Institute affirme avoir été en contact avec Apple sur ce sujet depuis septembre 2010. Les modèles touchés sont tous les iPod touch, iPhone et iPad, sauf les iPad 2/3 et iPhone 4S où l'état du jailbreak les concernant oblige à ce qu'ils soient déverrouillés pour que l'opération fonctionne.