Apple désactive en catimini la détection d'iPhone jailbreakés

Six mois après son introduction, Apple a désactivé, sans explication, une API d'iOS chargée de détecter les iPhone jailbreakés. Les fournisseurs de solutions de gestion de terminaux mobiles indiquent ignorer les raisons d'une telle décision, mais expliquent qu'ils peuvent utiliser d'autres méthodes pour détecter si un iPhone, un iPod ou un iPad a été modifié pour accepter d'autres applications que celles de l'App Store d'Apple.

Les outils de jailbreak constituent une sérieuse menace pour la sécurité des entreprises qui utilisent des smartphones (iPhone ou autres). En effet même si l'utilisateur final n'a pas l'intention de télécharger des programmes douteux, il reste complètement ignorant des logiciels malveillants dissimulés dans les applications non autorisées.

L'API désactivée par Apple faisait partie d'un ensemble d'API baptisé MMD (Mobile Management Device) destiné à faciliter la gestion des flottes d'iPhone dans les entreprises. Ces API étaient par exemple utilisées par des applications tierces comme AirWatch ou Afaria de Sybase, pour accéder directement aux fonctions et aux informations d'iOS ou du terminal mobile.

Mais avec l'arrivée d'iOS 4.2 fin novembre, l'API chargée de détecter les terminaux jailbreakés a été désactivée ou supprimée. Cet outil permettait aux applications MMD de vérifier si le système d'exploitation avait été compromis. Pour débrider les terminaux mobiles, les développeurs exploitent certaines failles pour modifier certains composants de bas niveau de l'OS afin d'autoriser le transfert de leurs propres applications ou celles de fournisseurs tiers. En octobre 2010, deux jailbreaks différents avaient exploité des vulnérabilités découvertes dans la Rom de démarrage d'IOS. Depuis trois ans, Apple lutte contre ce phénomène et avertit que le jailbreaking annule la garantie de l'appareil et risque endommager le smartphone.

Des tests de sécurité propres aux éditeurs

Auparavant, certains vendeurs de MMD avaient créé leurs propres tests détecter les jailbreaks, à l'image de ceux menés par les logiciels antivirus pour découvrir si un PC était infecté par un trojan. La fourniture de cette fameuse API par Apple leur donnait un accès direct aux informations sur le système d'exploitation. En théorie, le terminal iOS "avouait" s'il avait été jailbreaké, déclenchant ainsi des réponses automatiques telles qu'alerter le support technique ou interdire l'accès au serveur Exchange de l'entreprise.

« Nous l'avons utilisée quand elle était disponible, mais comme un complément », explique Joe Owen, vice-président en charge de l'ingénierie chez l'éditeur Sybase, qui propose l'outil de gestion et de sécurité pour mobiles. « Je ne sais pas ce qui a motivé cette suppression... » Dans la pratique, l'idée d'Apple d'utiliser une requête basée sur une API s'est avérée être beaucoup plus compliquée qu'il n'y paraît. «C'est un concept intéressant -
demander à l'OS de vous dire s'il a été compromis», poursuit Joe Owen. « Une attaque astucieuse pourrait toutefois commencer par changer cette partie précise de l'OS. Les jailbreaks dissimulent de mieux en mieux le fait que quelque chose a été compromis. » Lorsque cela se produit, l'API est trompée ou simplement incapable de détecter le jailbreak.

[[page]]

« [il] est peut être possible de détecter le jailbreak d'une version spécifique, mais ils [les éditeurs] seront toujours pris au piège, au jeu du chat et de la souris, s'ils veulent jouer avec les jailbreakers » explique Jeremy Allen, consultant en sécurité au sein d'Intrepidus Group. « Quels que soient les ajouts [dans l'OS] pour détecter les jailbreaks, s'il est nécessaire d'interroger le noyau pour être renseigné ce dernier doit rester accessible et peut toujours être modifié. Quelle que soit la manière d'appréhender le problème, si une méthode de détection est utilisée, une fois connue, elle peut être contournée. C'est un problème insoluble qu'on ne peut pas résoudre à 100%. »

Installer toutes les applications sans les payées

Pour un groupe d'utilisateurs doués en informatique, le jailbreaking est un exercice intéressant, sans même parler des questions de liberté individuelle, qui leur permet d'installer toutes les applications qu'ils souhaitent. Mais pour les entreprises, les terminaux mobiles iOS jailbreakés constituent véritablement une grave menace pour la sécurité.

« Quand un dispositif [mobile] est jailbreaké, l'objectif premier est de contourner ou de désactiver les composants du système d'exploitation et de la plate-forme qui maintiennent les applications dans un sas pour prévenir les défaillances et limiter les privilèges », écrit Jeremy Allen sur son blog consacré à la sécurité des plates-formes mobiles. « Avec ces terminaux, il pourrait être difficile, voire impossible, d'appliquer une politique de sécurité tant que les utilisateurs peuvent facilement contourner les mesures internes sans que les outils de gestion s'en rendent compte. »

Les fournisseurs de solution MMD tels que Good Technology, MobileIron et Sybase prétendent tous être en mesure de détecter les terminaux iOS jailbreakés sans l'API d'Apple. En règle générale, leurs agents sur l'appareil dialoguent avec les serveurs pour exécuter une série de tests ou tenter de faire des opérations strictement interdites par Apple, comme accéder à certaines fonctions bas niveau de l'OS. Si l'application peut exécuter ces tâches, elle comprend immédiatement que l'appareil est déplombé, et peut ensuite bloquer ou restreindre l'accès au réseau de l'entreprise.

Des utilisateurs inconditionnels du jailbreaking

Ces techniques ne sont toutefois pas infaillibles, prévient Jeremy Allen. « Ces méthodes ne peuvent pas être invoquées sans un degré élevé de confiance. Elles pourraient suffire dans de nombreux jailbreaks, mais pas tous », précise-t-il. « Je les vois comme des outils utiles, mais pas une solution globale. » Jeremy Allen encourage fortement les entreprises à utiliser une approche multicouche et surtout à être réaliste sur les risques encourus. «Je stresse toujours les utilisateurs [quant à l'importance] des risques avec le jailbreak. Je pense que les organisations doivent expliquer, dans un document interne la politique officielle, que le jailbreaking des terminaux n'est pas autorisé. Beaucoup d'utilisateurs ne sont tout simplement pas au courant des risques associés à l'exploitation d'un appareil jailbreaké. »

Compte tenu de l'ingéniosité des pirates aujourd'hui, les entreprises doivent reconsidérer leurs mesures internes en conséquence, met en garde Jeremy Allen. « En ce qui concernent les utilisateurs qui sont des inconditionnels du jailbreaking, et qui connaissent les risques encourus et les mécanismes de détection utilisés, il n'y a pas de solutions pour les repérer », conclut-il.