Lors de ma visite sur le stand Checkpoint, j’ai été témoin d’une démo qui fait, rétrospectivement, assez froid dans le dos à tel point que je me suis senti obligé de vous la faire partager. Malheureusement et exceptionnellement sur ce blog, je n’ai pas d’illustration susceptible de mieux vous permettre de visualiser le déroulement de cette présentation, mais je vais essayer d’être le plus précis possible. C’est donc l’histoire d’un iPhone …
Cet iPhone est bien évidemment à la dernière version d’iOS et non jailbreaké. Pour ceux qui ne connaitraient pas trop le monde d’Apple et pour faire simple, le terme “jailbreak” désigne une méthode non officielle permettant, entre autres, de pouvoir installer des applications non validées par Apple.
Ce terminal complètement normal donc, non bidouillé, va être la victime malheureuse de cette méthode très élaborée permettant de littéralement prendre le contrôle complet de l’engin.
Vous connaissez sans doute le principe des QR code, ces diagrammes noir et blanc que l’on voit souvent en bas de certaines pubs ou sur certaines affiches. En général il permettent de renvoyer vers le site web de l’annonceur pour avoir plus de détail sur la pub ou l’événement en question : bref, c’est un moyen facile fourni aux clients potentiels pour rapidement se rendre sur un site quelconque sans avoir à taper son URL (en résume là aussi, car un QR code peut servir à bien d’autres choses, mais passons …).
D’abord, un petit scénario fictif, mais tout a fait plausible pour fixer les idées. Il tombe donc sur un QR code qui semble légitime, situé sur un stand officiel d’une autre boite avec laquelle il souhaite aller plus loin en affaires. Il va utiliser une petite application qui lui permet de scanner ledit QR code avec l’appareil photo du téléphone et celle-ci lui propose dans la foulée de le rediriger vers le site prétendument “de la société en question”. Sauf que le QR code a été entre temps remplacé par un adhésif et le redirige vers un site qui n’a rien à voir mais qui reprend trait pour trait les codes visuels de la société en question. Jusque là, on pourrait dire que c’est une forme un peu plus élaborée de phishing.
Sur le site “fake” en question, on va proposer à l’utiliser d’installer l’application “officielle” de la société pour pouvoir rester en contact, avoir les dernières infos de celle-ci etc. … A ce moment, l’iPhone va détecter que le lien en question ne pointe pas vers une url classique mais vers un lien “d’application”. En temps normal, quand cela se produit, l’iPhone vous redirige tout de suite sur le magasin d’application d’Apple, car c’est en théorie la seule manière d’obtenir une application sur iPhone (en dehors du jailbreak, comme déjà dit). Sauf que là, il s’agit en fait d’une application non encore publiée mais malgré tout préparée et signée numériquement par un développeur dont le compte est valide chez Apple. Résultat, la seule “alerte” que peut avoir l’utilisateur c’est que l’application va se télécharger directement sans passer par l’Apple Store… autant dire que pour un utilisateur “classique”, c’est une alerte qui n’existe pas : on me demande d’installer, j’installe, je veux cette application sur mon téléphone, je viens de cliquer !
Et la les choses se gâtent. En effet, l’application “pirate” va être inévitablement lancée par l’utilisateur. Pire (mais je vais essayer d’avoir confirmation car cela me parait suspect), il semble que les applications “développeur” de part leur état non publié, précisément, ne déclenchent pas d’alerte particulière lorsqu’elle tentent d’accéder à certaines fonctions sensibles du téléphone, notamment sans exhaustivité aucune : l’appareil photo, le micro, les contacts, la position GPS etc. …
On se retrouve donc avec une application qui a été lancée, donc activée, qui a accès potentiellement à toutes les fonctions du téléphone et qui plus est dispose de toute latitude pour tourner en tâche de fond, sans que l’utilisateur ne puisse réellement être au courant.
Ensuite, bien tranquillement, le pirate va consulter son petit site maison où, bien évidemment, l’application s’est empressée de s’enregistrer pour dire qu’elle était en vie et prête à recevoir les ordres de son maître. J’ai pu constater d’ailleurs que toute notre conversation une fois l’appli installée avait été enregistrée, tranquillement par l’iPhone, pourtant verrouillé, sur la table à coté de nous et que son flux audio était remonté directement dans la console de gestion du malveillant.
Dans notre scénario fictif, le VIP rentre à son bureau avec son terminal et surtout un système d’écoute et de pistage d’un niveau de performance sans égal.
Assez bluffant je dois dire. Maintenant quelles conclusions en tirer ? Evidemment, Checkpoint avait un intérêt à me présenter cela bien sûr car ils ont sur étagère une application particulière (officielle celle-là ;) ) qui permet de vérifier régulièrement si un téléphone équipé a été compromis ou pas et le remonter illico sur une console de gestion pour décision. Mais d’une manière plus générale, cela rappelle que même dans un environnement iOS dont on lit régulièrement qu’il est plutôt très sécurisé comparé à ses concurrents, il est possible par des mécanisme finalement relativement accessibles, de “zombifier” un terminal iOS.
Enfin, appliqué à l’entreprise, il me parait plus que légitime et même recommandé de penser TRES FORTEMENT à la sécurité des terminaux mobiles qu’ils soient BYOD ou géré par un EMM, comme on le fait naturellement sur les PC. C’est le prix à payer pour pouvoir continuer utiliser dans les meilleurs conditions de confidentialité et sécurité nos ordinateurs de poche.
Accessoirement, faites attention à ce que vous scannez tout de même, quand un QR code vous intéresse ;)