Les profils de configuration iOS comme vecteur de malwares

Anthony Nelzin-Santos |

Skycure a redécouvert que les profils de configuration iOS pouvaient représenter un risque de sécurité. Notamment utilisés en entreprise pour configurer rapidement des flottes d’appareils, ces profils peuvent obtenir des droits très étendus : dans de mauvaises mains, ils peuvent permettre la transmission d’informations privées vers un serveur distant.

Ces profils ne peuvent être installés à l’insu de l’utilisateur, il faut même deux taps pour en installer un. Avec un peu de mauvaise volonté, on peut néanmoins pousser l’utilisateur à le faire : il suffit de lui promettre de lui faire faire des économies de bande-passante ou de l’appâter avec la perspective de changer le nom de l'opérateur par une image, de lire des vidéos en Flash sur son iPhone ou d'activer une fonction sur une ancienne version d'iOS. Skycure imagine qu’un site se fasse passer pour une solution de streaming de séries TV qui ne fonctionne que si un profil est installé.

Il s’agit ici de profiter de la crédulité de l’utilisateur, comme le font les créateurs de phishing et de chevaux de Troie. Mais on peut imaginer que les serveurs d’une entreprise soient attaqués pour corrompre ses profils de configuration et extirper des informations des appareils des salariés. Skycure s’est même rendu compte que l’opérateur américain AT&T faisait installer des profils à ses clients partant à l’étranger sur un site tiers pouvant facilement être attaqué ou les installait en boutique sur un réseau Wi-Fi ouvert via une connexion non sécurisée.

Cette note de Skycure est donc l’occasion de rappeler que les profils de configuration sont potentiellement des outils dangereux. Ne les installez donc que si vous connaissez parfaitement leur provenance, de préférence sur une connexion sécurisée (HTTPS), et restez précautionneusement à l’écart de toutes les bidouilles plus ou moins fumeuses qui les utilisent.


avatar Titov | 
Supprimons carrément les systèmes d'information, trop de failles potentielles. Un bon bloc de granit et un burin suffiront largement.
avatar JGL | 
Apple Configurator permet d'interdire l'installation de profils de configuration. De plus on peut bloquer l'acceptation de certificats SSL/TLS non vérifiés... Dans le cadre entreprise => Pas de soucis. Par contre le petit utilisateur lambda voulant installer tout et n'importe quoi, en effet il peut être victime de malware... en même temps si il installe tout et n'importe quoi... C'est bien fait pour lui... L'avantage de ce genre de "bad buzz" c'est qu'Apple va encore plus renforcer la sécurité à ce niveau!
avatar JGL | 
@oomu Peut être que ce genre de mentalité n'aide pas, mais le mec qui Jailbreak son iPhone et ensuite qui se plain de problèmes de sécurité, n'a aucune excuse. Il y a un moment Apple essaye de faire de son mieux pour anticiper la naïveté des utilisateurs, mais ils ne peuvent pas faire de miracles... Juste de leur mieux... Il suffit de regarder la concurrence, notamment Android, côté sécurité c'est pas top, mais personne ne dit rien parce qu'on sait ce qu'on a...

CONNEXION UTILISATEUR