L’implémentation de la part d’Apple du protocole de sécurité wifi WPA2-Enterprise pose problème, selon Pieter Robyns, étudiant en master informatique à l’UHasselt.
Fin janvier 2014, Pieter Robyns découvrait un bug dans l’implémentation de la part d’Apple de WPA2-Enterprise, un standard IEEE dans la sécurisation des réseaux sans fil des entreprises. Il en résulte que des pirates et des personnes mal intentionnées peuvent mettre en oeuvre un réseau sans fil factice, auquel le personnel se connecte, plutôt qu’au véritable réseau d’entreprise. Il leur est ainsi possible de mettre la main sur des noms d’utilisateur, des mots de passe, etc. qui peuvent ensuite être abusés par les agresseurs au sein du véritable réseau.
Corrigé dans iOS8
Après sa découverte, le problème a été transmis au Cert.be belge (l’équipe d’intervention en cas d’incidents de sécurité informatique), puis aussi à Cert.org. Conjointement avec le centre de recherche numérique flamand iMinds et l’Expertisecentrum voor Digitale Media de l’UHasselt, Apple fut elle aussi prévenue, qui confirma le problème fin février.
De l’étude réalisée par Pieter Robyns, il ressort que les appareils tournant sous iOS 6 (.1.6, comme dans l’iPod Touch), iOS 7 (.1, comme dans les iPhone 4 et 4S) et Mac OS X 10 (.8.2, Mountain Lion) sont vulnérables à ce risque de sécurité. Robyns a également testé des appareils sous Android 2.x (2.3.4), 4.x (4.4.2), Windows Phone 8.0 et Windows 7 (desktop), qui ne souffraient pas de ce problème (ce qui n’en exclut pas d’autres). Apple envisage d’apporter une correction dans iOS8, qui sortira ultérieurement cette année (et qui se trouve actuellement en phase bêta).
Vu la nature des réseaux sans fil et les difficultés possibles suite à un accès illégitime, les chercheurs insistent sur la nécessité de conserver les informations confidentielles et cruciales “sur des serveurs sécurisés par des droits d’accès spécifiques, au lieu de faire simplement confiance à la sécurité du réseau sans fil”. Il s’agit aussi de prêter attention aux droits d’accès à partir d’applications qui utilisent ces informations (trop souvent, cela s’effectue à un niveau trop élevé des droits d’accès à ces serveurs).
L’implémentation de la part d’Apple du protocole de sécurité wifi pour les utilisateurs domestiques – WPA2-PSK – a également été examiné, mais tout semble correct de ce côté-là. L’utilisation de ce dernier protocole dans les entreprises n’est cependant pas indiquée.
