Comme chaque semaine, le CERT-XMCO partage un bulletin publié durant la semaine précédente. Cette fois-ci, nous vous proposons de revenir sur la publication présentant la solution « GrayKey » permettant le déverrouillage des iPhone.
Description :
« GrayKey », la solution phare de la société GrayShift permettant de déverrouiller n’importe quel iPhone grâce à l’exploitation de vulnérabilités, est au centre de sérieuses questions concernant la vie privée et la légitimité de son utilisation future.
En effet, la solution vendue exclusivement aux organisations étatiques aux États-Unis soulève de sérieuses interrogations à propos de la légitimité de son utilisation ou même son possible détournement.
Deux versions de la solution sont actuellement vendues :
- La première version nécessite internet et fait l’objet d’un verrouillage lié à la géolocalisation, son prix est de 15,000$.
- La seconde version, quant à elle, ne nécessite pas d’accès Internet, mais requiert une authentification par double facteur pour fonctionner. Cette solution est donc mobile et autonome, son prix s’élève à 30,000$.
Les solutions « GrayKey » permettent donc aux autorités d’accéder au contenu d’un iPhone verrouillé sans l’accord de son propriétaire et de récupérer l’ensemble des données présentes sur le téléphone en le connectant à un petit boîtier, peu importe le modèle ou la version d’iOS installée.
Cette facilité d’accès à des données personnelles grâce à un système exploitant des vulnérabilités au sein des iPhone pose de sérieuses questions de sécurité.
Il est pour l’instant impossible de savoir si les vulnérabilités exploitées par la solution rendent le téléphone inutilisable ou vulnérable à des attaques ultérieures. Il ne serait pas impossible que la sécurité du système soit affaiblie une fois le téléphone rendu à l’utilisateur ou qu’un code malveillant ait été injecté suite à la procédure de déverrouillage.
Enfin, l’utilisation détournée d’un tel appareil pourrait poser des problèmes relatifs à la vie privée. La version connectée à internet est limitée à une utilisation stricte liée à la localisation, mais la version autonome peut très bien être volée pour être revendue au marché noir. Elle pourrait alors permettre à des voleurs de déverrouiller les téléphones dérobés. L’appareil pourrait également être utilisé par des états dans le cadre de programmes de surveillance.
Références :
Référence CERT-XMCO :