En six minutes, une fois la manipulation bien rôdée, il est facile de voler des mots de passe contenu dans un iPhone, même s’il est verrouillé, montrent des chercheurs. En moins de 10 minutes, des experts en sécurité informatique de l’Institut Fraunhofer (Allemagne) ont réussi à prendre la main sur le système d’exploitation d’un iPhone, volant les données privées stockées sur le téléphone et accédant à de nombreux mots de passe de mails ou de réseaux.Même si cette opération n’est pas à la portée de n’importe quel voleur de smartphone, elle n’est pas très compliquée pour un bon connaisseur des systèmes d’exploitation iOS d’Apple, utilisé dans les iPhones ou les iPads, soulignent les chercheurs du Fraunhofer. Eux-mêmes ont mis au point un petit programme qui leur a permis d’accéder au système de gestion des mots-clefs développés par Apple (Keychain). Il avait déjà été démontré que l’on pouvait accéder à un grand nombre de données stockées dans un iPhone sans connaître et sans utiliser le code qui permet de le verrouiller, rappelles Jens Heider et Matthias Boll dans leur article. Ceci est possible «sans grand effort» parce que dans le système iOS le chiffrement sensé garantir la sécurité ne dépend pas du mot de passe de l’utilisateur (qui sert à déverrouiller l’appareil).Réalisant une nouvelle expérience, Heider et Boll démontrent comment, à partir d’un iPhone verrouillé, équipé du système iOS 4.2.1, ils parviennent à accéder aux données secrètes contenues dans le système de gestion des mots clefs. Mots de passe d’un compte mail Google, d’un réseau (VPN), de plusieurs applications, d’accès Wi-Fi, ont ainsi été dérobés. Sans avoir besoin du code utilisateur. Une fois ces mots de passe en main, le voleur peut poursuivre ses méfaits bien au-delà du seul contenu du smartphone.Les chercheurs veulent ainsi attirer l’attention des utilisateurs sur le fait que chiffrement ne rime pas forcément avec protection totale et que lorsqu’un iPhone est volé, le bloquer ne suffit pas. Ils conseillent de changer les mots de passe des comptes concernés.C.D.Sciences et Avenir.fr11/02/11Authors: 1338208.jpg

pour en savoir plus...