Des chercheurs de Secure Mobile Networking Lab, de l’université de Darmstadt (Allemagne), ont publié une étude qui décrit une méthode qui permettrait, en théorie, de pirater un iPhone, même s’il est éteint. Cette étude a analysé le fonctionnement des modules sans fil et a découvert plusieurs techniques qui permettent d’analyser le micrologiciel Bluetooth, et donc d’introduire un programme malveillant capable de s’exécuter indépendamment du système d’exploitation iOS de l’appareil.
Avec un peu d’imagination, on peut facilement imaginer qu’un cybercriminel puisse tenir un téléphone infecté près du dispositif de la victime et transférer un programme malveillant, pour ensuite voler les informations de sa carte bancaire ou même la clé virtuelle d’un véhicule.
S’il vous faut faire preuve d’un peu d’imagination c’est parce que les auteurs de ce document ne l’ont pas vraiment démontré, puisqu’ils se sont arrêtés juste avant la mise en pratique d’une attaque au cours de laquelle un programme très utile mauvais est envoyé sur le smartphone. Même sans ça, les chercheurs ont malgré tout fait beaucoup de choses pour analyser la fonctionnalité non documentée du téléphone, puisqu’ils ont rétro conçu le micrologiciel du Bluetooth et ont imaginé divers scénarios pour utiliser les modules sans fil.
Si l’attaque ne peut pas se faire, quel est l’objectif de cet article ? Nous allons tout vous expliquer, ne vous inquiétez pas. Mais nous devons d’abord faire une déclaration importante : si un appareil est éteint mais qu’on peut tout de même interagir avec (en le piratant, par exemple), alors devinez quoi ?! Cela signifie qu’il n’est vraiment éteint !
Comment en sommes-nous arrivés au fait que même si un dispositif est éteint cela ne signifie pas pour autant qu’il le soit vraiment ? Reprenons depuis le début…
Le mode économie d’énergie d’Apple
En 2021, Apple a annoncé que le service » Localiser mon « , utilisé pour retrouver un appareil perdu, fonctionnerait même si l’appareil est éteint. Cette amélioration est disponible sur tous les smartphones Apple depuis l’iPhone 11.
Si, par exemple, vous perdez votre téléphone quelque part et que la batterie va bientôt se terminer, il ne s’éteindra pas complètement mais va passer au mode économie d’énergie qui ne garde que quelques modules actifs. Il s’agit principalement des modules sans fil du Bluetooth et de l’Ultra Wideband (UWB), et de la technologie NFC. Il y a aussi le composant Secure Element : une puce sécurisée qui conserve vos secrets les plus précieux comme les informations de votre carte bancaire pour les paiements sans contact ou les clés de votre voiture. Cette fonctionnalité n’est disponible que depuis 2020 pour un nombre limité de véhicules.
Lorsque le mode économie d’énergie est activé, le Bluetooth n’est utilisé que pour transférer des données, alors que l’UWB permet de déterminer l’emplacement du smartphone. Avec le mode économie d’énergie, le smartphone envoie des informations que les passants ayant un iPhone peuvent intercepter. Si le propriétaire d’un téléphone perdu se connecte à son compte en ligne Apple et indique que le téléphone a été perdu, les informations des smartphones qui se trouvent à proximité sont alors utilisées pour déterminer l’emplacement de l’appareil. Pour savoir comment cette technologie fonctionne, nous vous invitons à lire l’article que nous avons récemment publié sur l’utilisation de l’AirTag à des fins d’espionnage.
Cette annonce a rapidement donné lieu à un débat houleux chez les experts en sécurité des informations quant au labyrinthe d’éventuels risques en termes de sécurité. Cette équipe de recherche en Allemagne a décidé de tester en pratique les éventuels scénarios d’attaque.
« Localiser mon » une fois le téléphone éteint
Tout d’abord, les chercheurs ont fait une analyse détaillée du service » Localiser mon » lorsque le mode économie d’énergie est activé. Ils ont découvert certaines caractéristiques jusqu’alors inconnues. Une fois éteint, le module du Bluetooth s’occupe de la plupart des choses, et il est rafraîchi et configuré par un ensemble de commandes iOS. Il envoie ensuite régulièrement des paquets de données, ce qui permet aux autres appareils de détecter l’iPhone <em>pas vraiment éteint</em>.
Il s’avère que la durée de ce mode est limitée. Avec la version iOS 15.3, il ne peut y avoir que 96 sessions de transmission qui se font toutes les 15 minutes. Autrement dit, un iPhone perdu et éteint n’est détectable que pendant 24 heures. Si le téléphone est éteint parce que la batterie est faible, ce délai est plus court : environ 5 heures. On pourrait croire que cette fonctionnalité est étrange, mais les chercheurs ont aussi trouvé un bug. Lorsque le téléphone est éteint, le mode économie d’énergie ne s’active pas alors qu’il devrait.
Le plus intéressant est que le module du Bluetooth est reprogrammé avant que le téléphone ne s’éteigne. Cela signifie que ses fonctionnalités sont fondamentalement modifiées. Et s’il pouvait être reprogrammé au détriment du propriétaire ?
Un téléphone éteint est victime d’une attaque
En réalité, la principale découverte de l’équipe a été de constater que le micrologiciel du module du Bluetooth n’est pas chiffré et n’est pas protégé par la technologie Secure Boot. Le Secure Boot implique une vérification à plusieurs niveaux du code du programme au démarrage, pour que seul le micrologiciel autorisé par le fabricant ne puisse s’exécuter.
Ce manque de chiffrement permet l’analyse du micrologiciel et la recherche de failles afin de pouvoir ensuite les utiliser pour lancer des attaques. L’absence de Secure Boot permet aux cybercriminels d’aller plus loin et de remplacer complètement le code du fabricant par le leur. C’est ce code que le module du Bluetooth exécute. Pour comparer, l’analyse du module UWB de l’iPhone a révélé qu’il est protégé par Secure Boot, même si le micrologiciel n’est pas chiffré.
Évidemment, tout cela n’est pas suffisant pour lancer une attaque sérieuse et pratique. Pour ce faire, les cybercriminels doivent analyser le micrologiciel, essayer de le remplacer par quelque chose qu’ils ont eux-mêmes créé, et trouver un moyen d’accès. Les auteurs de cette étude décrivent en détail le modèle théorique de l’attaque mais ne montrent pratiquement pas que l’iPhone peut être piraté par Bluetooth, NFC ou UWB. Pourtant, leurs découvertes montrent clairement que si ces modules sont toujours actifs, les vulnérabilités aussi fonctionneraient tout le temps.
Apple n’a pas été impressionné par l’étude et a refusé de répondre. Ce comportement en dit peu : l’entreprise est prudente et reste impassible même lorsqu’une menace est sérieuse et a prouvé qu’elle pourrait l’être en pratique.
N’oubliez pas qu’Apple se donne beaucoup de mal pour que ses secrets n’éclatent pas au grand jour. Les chercheurs font face à un code du programme fermé, souvent chiffré, sur le hardware même d’Apple, et avec des modules tiers sur mesure. Un smartphone est un système vaste et complexe particulièrement difficile à comprendre, surtout si le fabricant vous gêne plus qu’il ne vous aide.
Personne ne dirait que les découvertes de l’équipe sont incroyables, mais elles sont le fruit d’un travail minutieux. Cette étude a le mérite de questionner la politique de sécurité d’arrêt du téléphone, d’autant que certains modules restent actifs. Leurs doutes sont justifiés.
Un appareil à moitié éteint
L’étude conclut que le micrologiciel du Bluetooth n’est pas suffisamment bien protégé. Il est en théorie possible de le modifier dans iOS ou de reprogrammer le mode économie d’énergie en étendant ou en modifiant ses fonctionnalités. Le micrologiciel de l’UWB peut aussi être examiné à la recherche de vulnérabilités. Pourtant, le principal problème est que ces modules sans fil (tout comme NFC) communiquent directement avec l’enclave protégé qui n’est autre que Secure Element. Ce point nous amène aux conclusions les plus intéressantes de cette étude :
- Il est théoriquement possible de voler la clé virtuelle d’une voiture d’un iPhone, même si le téléphone est éteint ! Évidemment, si l’iPhone est la clé du véhicule, la perte du téléphone pourrait aussi entraîner la perte du véhicule. Pourtant, dans ce cas vous avez encore votre téléphone mais on vous a volé la clé de votre voiture. Imaginez que les choses se passent de cette façon : un intrus s’approche de vous dans un centre commercial, passe son téléphone près de votre sac et vole votre clé virtuelle.
- Il est en théorie possible de modifier les données envoyées par le module du Bluetooth notamment, par exemple, pour se servir du smartphone d’une victime pour l’espionner. Là encore, cela est aussi possible si le téléphone est éteint.
- Les escrocs pourraient aussi obtenir les informations de vos cartes bancaires en les volant de votre téléphone.
Évidemment, tout cela reste à prouver. Le travail de cette équipe qui se trouve en Allemagne a montré une fois de plus que l’ajout de nouvelles fonctionnalités entraîne certains risques en termes de sécurité et qu’il faut les prendre en compte, surtout lorsque la réalité est différente de ce que l’on pense : vous croyez que votre téléphone est éteint alors qu’il ne l’est pas complètement.
Pourtant, ce problème n’est pas si nouveau. L’Intel Management Engine et la technologie AMD Secure, qui s’occupent aussi de la protection du système et de la gestion sécurisée à distance, sont actifs dès que la carte mère d’un ordinateur portable ou d’un ordinateur de bureau est connectée à une source d’alimentation. Tout comme les composants Bluetooth/UWB/NFC/Secure Element inclus dans un iPhone, ces systèmes ont des droits étendus dans l’ordinateur, et les vulnérabilités trouvées dans ces programmes peuvent être dangereuses.
Le point positif est que cette étude n’a pas un impact immédiat sur les ordinateurs normaux : les données de cette étude ne permettent pas de lancer une attaque en pratique. Les auteurs proposent toute de même une solution infaillible : Apple devrait introduire un interrupteur dans le hardware afin de couper complètement l’alimentation du téléphone. Étant donné qu’Apple a une peur bleue des boutons physiques, vous pouvez être certain que cela ne va pas arriver.