Apple iPhone 5S : Vol, hack et prise de contrôle en vidéo

1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (5,00/5 - 3 vote(s))
Baptiste Sécurité 3
Apple iPhone 5S : Vol, hack et prise de contrôle en vidéo

Le dernier téléphone mobile haut de gamme d’Apple, l’iPhone 5S, ne cesse décidément de faire parler de lui, et malheureusement pas en bien. Bien que dernier né, il serait dans une certaine mesure le smartphone le moins sécurisé jamais produit par la firme de Cupertino.

Retrouvez au travers de la vidéo suivante un scénario de vol à l’arraché d’un iPhone 5S, suivi du déverrouillage et de la prise de contrôle du compte Apple – et éventuellement du ou des comptes mail configurés – tout en outrepassant la procédure d’effacement de contenu à distance initiée par le propriétaire du mobile :

Image de prévisualisation YouTube

Pour revenir en détails sur cette prise totale de contrôle de l’iPhone :

Isolement du téléphone mobile

La première étape, suivant directement le vol, consiste à déconnecter le téléphone afin de l’isoler et travailler tranquillement dessus. Il suffira pour cela d’accéder, même écran verrouillé, au centre de contrôle afin d’activer le mode avion.

Cette mise en quarantaine offrira au voleur de se prémunir contre une puissante fonctionnalité disponible sur iCloud, à savoir la possibilité d’effacer à distance le contenu de son appareil.

Déverrouillage du smartphone

Deux possibilités se présentent pour casser l’authentification :

  • Espérer un code d’accès évident, parmi les plus utilisés (0000, 1234, etc.)
  • Profiter de la vulnérabilité connue du lecteur d’empreinte digitale, le fameux Apple TouchID

Prise de contrôle du compte Apple

Via l’application mobile iCloud, l’Apple ID est accessible, permettant au voleur de lancer une procédure de récupération de mot de passe à l’aide du site internet du constructeur. Plus exactement, il sera question de réinitialisation de mot de passe faisant intervenir le compte mail de la personne attaquée ; compte dans la plupart des cas logiquement configuré sur le téléphone piraté.

Il conviendra d’activer le WiFi quelques secondes afin de ne recevoir que le mail attendu sans qu’il ne soit question de l’effacement des données contenues sur le téléphone. Le token récupéré et envoyé sur l’ordinateur, rend possible le reset du mot de passe et sa redéfinition.

Prise de contrôle du mobile

Depuis iCloud, service auquel le voleur peut désormais se connecter via son propre mot de passe qu’il vient de choisir, il suffit de supprimer le device du compte de la personne volée.

En désactivant le mode avion, la procédure d’effacement du téléphone est lancée. Une fois le smartphone redémarré, il suffit au voleur de restaurer le backup souhaité depuis iCloud. De là, la personne mal intentionnée a accès à l’ensemble du téléphone, y compris le ou les comptes mail desquels il peut révoquer l’accès pour en définir un nouveau au travers du code de vérification envoyé par SMS au numéro de téléphone lié au compte.

Un accès au compte mail offrira un accès illimité à tous les services web sur lesquels l’individu volé était inscrit, qu’il s’agisse de banques en ligne, de sites e-commerce, de réseaux sociaux, etc. En bref, à peu de chose près tout ce qu’il a pu faire sur internet.

Amélioration de la sécurité

Sachant cela, l’auteur de la vidéo suggère diverses corrections pour limiter ce type d’infraction. On retrouvera notamment le mode avion inaccessible lorsque le téléphone mobile est verrouillé ou encore la possibilité de révoquer l’accès à tous les services configurés sur le téléphone en plus d’une vérification de demande de suppression des informations stockées sur le téléphone avant la récupération de données tels que les mails.

Nous voilà désormais prévenus !

Via

Laisser un commentaire

3 commentaires le "Apple iPhone 5S : Vol, hack et prise de contrôle en vidéo"

  1. Trance 07/10/2013 à 20:10 · Répondre

    La partie ou il hacke le compte GMAIL est incorrecte, car la premiere chose qu’on fait lorsqu’on se fait voler son téléphone, c’est de bloquer la carte SIM, par conséquent, le SMS d’authentification ne parviendra jamais sur le téléphone volé.

    • Baptiste 08/10/2013 à 08:32 · Répondre

      L’histoire ne dit pas si le voleur se trouve effectivement à deux pas de chez lui (ou d’un endroit dans lequel il peut se retrancher), lui permettant ainsi d’agir dans l’heure. Ni si la personne volée est en mesure de réagir rapidement comme tu le sous-entends.

      C’est un scénario catastrophe bien que dans l’absolu tout à fait envisageable. L’idée est de garder à l’esprit les premières mesures à mettre en oeuvre dans le cas où une telle chose venait à arriver ;)

  2. Trance 08/10/2013 à 09:41 · Répondre

    Le scénario est plausible si la victime ne se rend pas compte du vol pendant plusieurs heures, voir plusieurs jours, le temps que le voleur puisse copier les empreintes et les reproduire à haute définition.

    Et puis, faut encore que les empreintes soient exploitables aussi.. bref, un scénario trop optimiste pour les voleurs.