Introduction
La sortie récente du jailbreak evasiOn pour iOS 6 et 6.1 et ce type d’outil en général inquiètent les entreprises ayant déployé des terminaux Apple. Nous allons donc ici, non pas faire une description technique d’evasiOn, mais expliquer les risques que cela implique en entreprise.
Post-evasiOn
Tout d’abord un topos de la situation avant lundi: via l’exploitation d’une vulnérabilité dans la bootrom des terminaux iOS (limera1n) il était possible de démarrer les iPhones 4 (et précédents) et iPad 1 sur une ROM non-signée. Du fait que ce composant est intégré au hardware, il est impossible à Apple de corriger la vulnérabilité sans produire de nouveaux modèles (ce qui a été le cas depuis l’iPhone 4S et iPad2).
Il est alors possible de démarrer les terminaux impactés avec une ROM contenant des outils spécialisés dans le but de brute-forcer le passcode défini par l’utilisateur. Sur un iPhone4, le temps moyen pour un passcode de 4 chiffres est de 10 minutes… A partir de ce moment, l’attaquant (ou l’analyste forensics) a accès à tous les secrets protégés à l’aide des fonctionnalités telles que le stockage dans le KeyChain ou le chiffrement à l’aide de la Data Protection API (ex: mot de passe du domaine utilisé pour la connexion à MS Exchange et certificats et clefs privées pour le VPN d’entreprise). La copie complète des informations stockées sur le terminal peut également être réalisée (environ 45min pour 16Go).
Un attaquant qui a physiquement accès à un terminal protégé par 4 chiffres pendant moins de 20 minutes peut donc réaliser des dégâts considérables en fonction des données stockées et ce sans laisser d’autres traces qu’un redémarrage dans les logs…
evasiOn
Les jours précédents la sortie de cet outil il a été possible de comprendre que le jailbreak nécessiterait de connecter le terminal via USB. On aurait donc pu penser, malgré une faible probabilité due aux revues effectuées par Apple, à une vulnérabilité pré-boot du même type que limera1n. Fort heureusement ce n’est pas le cas et le terminal doit être déverrouillé afin d’effectuer la manipulation. Du fait que la première phase d’evasiOn passe par la modification d’un backup, il est nécessaire que le terminal soit déverrouillé ou tout du moins déjà pairé avec le poste auquel il est connecté pour qu’il autorise le backup.
Dans le cas où un passcode a été défini, il n’est donc actuellement pas possible à un attaquant d’accéder au contenu d’un terminal iOS verrouillé. On pourrait néanmoins voir apparaitre des vers se propageant de postes Windows/OSX infectés aux terminaux iOS via l’injection de code exécutable dans iTunes.
A l’heure actuelle, les terminaux de versions supérieures ou égales à l’iPhone 4S et iPad 2 sont donc protégés contre une attaque liée à un accès physique (pour rappel, le système de fichiers d’iOS est chiffré avec une clef en partie stockées dans le matériel).
Conclusion
Du fait que la découverte d’une vulnérabilité pré-boot ne doit pas être exclue, il est recommandé de forcer l’utilisation de passcodes d’au moins 6 chiffres et si possible alpha-numériques. D’autre part, la démarche ne doit pas s’arrêter là et les procédures de changement de mot de passe en cas de perte ou de vol de terminaux doivent être revues, ainsi qu’expliquer les risques aux utilisateurs afin qu’ils préviennent au plus vite en cas de disparition de leur terminal.
Restent également les vulnérabilités dans les applications ayant une large surface d’attaque tels que MobileSafari. Ces dernières requièrent de mettre en place une politique de mise à jour des terminaux.
Comme l’a rappelé Vincenzo Iozzo, il ne faut pas oublier que les attaquants choisiront toujours le chemin avec le coût le plus faible vers leur cible. Ainsi, la sécurité des applications déployées sur les terminaux doit également être prise en compte. Le système de cloisonnement d’iOS n’empêchant pas l’accès aux données d’une application via l’exploitation d’une vulnérabilité dans cette dernière (ou les données auxquelles elles a accès, ex. carnet d’adresses).