Série noire pour Apple quant à la sécurité de ses logiciels. Après l’accès root sur MacOS, c’est au tour d’iOS d’être dans la tourmente. En effet, une vulnérabilité dans le framework de HomeKit sur iOS 11.2 permettait de prendre le contrôle à distance de tout objet connecté appairé.
Après une faille dans les dernières versions de macOS, une nouvelle vulnérabilité vient d’être découverte dans les produits Apple. Celle-ci affecte HomeKit dans iOS 11.2. Révélée par 9to5Mac, son exploitation permet un contrôle à distance non autorisé des appareils connectés liés l’application smart home de la marque à la pomme. Ce qui signifie qu’un individu malintentionné peut prendre le contrôle de tout objet connecté, de l’ampoule à la serrure en passant le thermostat et la caméra, appairé à HomeKit.
Selon nos confrères de 9to5Mac, le problème vient du framework de l’application elle-même. Ils se refusent à donner les détails techniques de cette vulnérabilité, mais expliquent qu’il est particulièrement complexe de l’exploiter. Elle nécessite un terminal sous la dernière version d’iOS (11.2) connecté au compte iCloud de l’utilisateur légitime de HomeKit.
Faut-il faire confiance à l’IoT ?
Apple est vraisemblablement informé de l’existence de cette vulnérabilité et indique avoir déployé un correctif. « Le correctif désactive temporairement l'accès distant aux utilisateurs partagés, qui sera restauré dans une mise à jour logicielle au début de la semaine prochaine » explique l’entreprise. Le patch est exécuté côté serveur, les utilisateurs de HomeKit n’ont donc aucune mesure particulière à prendre d’ici à la prochaine mise à jour iOS.
L’auteur de l’article ne jette pas la pierre à Apple, soulignant que les bugs touchent tous les logiciels, indépendamment de l’éditeur. Il se demande toutefois si Cupertino va auditer ses processus de développement et, si possible, les revoir afin d’éviter que pareille vulnérabilité ne se répète. Car, au-delà du seul cas HomeKit, c’est l’ensemble du secteur de l’IoT qui doit être interrogé. « Notre espoir avec la publication de cette vulnérabilité spécifique est que nous pourrons avoir un impact significatif dans l'amélioration des processus d'assurance qualité et d'audit de sécurité » souligne 9to5Mac.