Your new post is loading...
Baptisée “No iOS Zone”, une faille ”zero-day” dans la gestion du Wi-Fi sur iOS 8, est susceptible de permettre à un pirate d’attaquer n’importe quel iPhone ou iPad utilisant cet OS, et de le rendre hors service.
Pendant la conférence RSA, à San Francisco, deux experts en sécurité, Yair Amit et Adi Sharabani, respectivement directeur de la technologie et CEO de Skycure, ont dévoilé une faille "zero-day" - encore jamais exploitée et sans correctifs - dans la gestion du Wi-Fi et du SSL (protocole de sécurisation des échanges) sur iOS 8, qui concerne tout iPhone, iPad et iPod touch.
Des attaques DOS via un réseau Wi-Fi malveillant
Via un réseau Wi-Fi, il serait ainsi possible de rendre hors service n’importe quel appareil tournant sous iOS 8 - via une attaque DOS. Celle-ci a été présentée par les spécialistes en sécurité et baptisée "No iOS Zone". Elle exploite une faille située dans la gestion, par le système d’exploitation, du SSL lors d’une connexion Wi-Fi.
Il s’agit pour l’attaquant de diffuser, en utilisant un réseau Wi-Fi malveillant, des certificats SSL malicieux. Un terminal iOS 8 se connectant à ce réseau récupérerait l’un de ces certificats SSL, modifiés spécialement pour entraîner une panne.
Le redémarrage serait inefficace, assurent Yair Amit et Adi Sharabani, puisque l’appareil se reconnecterait automatiquement au réseau malveillant, s’éteignant à nouveau, sans laisser le temps à l’utilisateur de changer ses paramètres. Seule solution : sortir du périmètre couvert par le réseau Wi-Fi malveillant.
Apple, informé par les experts de Skycure, plancherait d’ores et déjà sur un correctif destiné à combler la faille.
