Une nouvelle découverte de la société Elcomsoft a révélé que les sauvegardes d’un appareil sous iOS 10 sur iTunes sont beaucoup plus faciles à craquer qu’auparavant.
La société de sécurité Elcomsoft a annoncé la semaine dernière qu’elle avait découvert une faille dans le système de sauvegardes locales des iPhone et iPad. Ce dernier serait bien plus facile à pirater qu’auparavant et compromettrait considérablement la sécurité et la confidentialité des données stockées dans les fichiers. Apple a depuis reconnu la faille et a confirmé travailler sur un correctif.
Dans une déclaration à Forbes, un porte-parole d’Apple a dit: «Nous sommes au courant d’un problème qui affecte la force de cryptage pour les sauvegardes de périphériques iOS 10 lors de la sauvegarde d’iTunes sur un Mac ou un PC. Nous allons régler ce problème dans une prochaine mise à jour de sécurité ». La firme de Cupertino a insisté sur le fait que la faille « n’affecte pas les sauvegardes iCloud ». En attendant, Apple a recommandé aux utilisateurs d’« utiliser des mots de passe forts sur leur Mac ou PC ».
« Nous recommandons aux utilisateurs de s’assurer que leur Mac ou PC sont bien protégés par des mots de passe forts et qu’ils ne sont accessibles que par des utilisateurs autorisés. Une sécurité supplémentaire est également disponible avec le chiffrement de disque dur FileVault », a ajouté le porte-parole. Malheureusement, la société n’a pas révélé un calendrier exact pour la publication de la mise à jour.
La firme de sécurité ElcomSoft a affirmé que la faille de sécurité peut laisser des attaquants développer une nouvelle attaque capable de contourner certains contrôles de sécurité pour trouver les mots de passe protégeant les sauvegardes locales des appareils sous iOS 10. « L’impact de cette faille de sécurité est grave », selon l’entreprise. Elle a également déclaré que le nouveau contrôle de sécurité dans iOS 10 était environ « 2.500 fois plus faible» par rapport à celui utilisé dans les sauvegardes iOS 9.
Il convient de mentionner que la faille découverte ne peut pas être exploitée à distance et que l’attaquant doit nécessairement avoir accès aux sauvegardes locales dans iOS 10.
