iPhone : comment le passage à l’USB-C a ouvert la voie aux pirates
Le prix à payer de la standardisation imposée ?
La transition vers l’USB-C, imposée par l’Union européenne et longtemps repoussée par Apple, révèle ses premières faiblesses. Un chercheur en sécurité informatique vient de mettre au jour une vulnérabilité préoccupante dans le contrôleur ACE3, le composant central qui gère la recharge et les transferts de données sur les nouveaux appareils de la marque.
Quand un câble USB-C devient une arme contre votre iPhone
Thomas Roth, expert en cybersécurité, a présenté lors du 38ᵉ Chaos Communication Congress (véritable melting-pot entre hackers éthiques, développeurs d’applications et journalistes) une démonstration technique de cette vulnérabilité. Cette dernière réside dans la couche d’abstraction matérielle du contrôleur ACE3. Cette interface, censée filtrer et valider toutes les communications USB-C, présente des failles dans sa logique de vérification.
Un attaquant pourrait ainsi injecter des commandes non autorisées en manipulant les séquences d’initialisation du protocole USB-C. Plus inquiétant encore, ces manipulations peuvent s’effectuer via des accessoires USB-C modifiés qui paraissent totalement légitimes aux yeux du système.
D’après l’analyse publiée par Cyber Security News, cette faille prend une dimension particulière en raison de l’architecture intégrée d’iOS. Le contrôleur ACE3 dispose d’un accès privilégié aux composants système, qui est une véritable porte ouverte pour une personne mal intentionnée, qui peut ainsi contourner les mécanismes de sécurité les plus fondamentaux d’iOS. Un scénario d’attaque pourrait de cette façon aboutir à l’installation de logiciels malveillants tenaces, capables de survivre aux redémarrages du système.
Des risques concrets pour la sécurité des utilisateurs
Concrètement, que cela signifie-t-il ? En théorie, un assaillant pourrait concevoir des accessoires USB-C en apparence anodins, mais capables d’établir des canaux de communication invisibles avec le système. Ces périphériques malveillants permettraient alors d’extraire furtivement des données personnelles : photos, contacts, messages, identifiants bancaires. Ils pourraient subtilement modifier le comportement du téléphone sans éveiller les soupçons de l’utilisateur.
Un point rassurant : ce n’est pas à la portée de tout le monde. La mise en œuvre de telles attaques nécessite actuellement des compétences techniques pointues et une excellente compréhension de l’architecture iOS. Toutefois, la documentation détaillée de cette vulnérabilité risque d’abaisser progressivement cette barrière technique et ce risque est réel à court terme.
Face à cette situation, Apple n’a pas encore communiqué ni proposé de correctif. En attendant une réponse officielle de la marque, soyez prudents lorsque vous utilisez des accessoires USB-C tiers, particulièrement ceux d’origine inconnue ou douteuse. Néanmoins, il est peu probable qu’un utilisateur lambda soit ciblé par une attaque aussi complexe à organiser.
- Une faille critique dans le contrôleur USB-C des nouveaux iPhone permettrait des attaques via des accessoires modifiés.
- Des pirates pourraient exploiter cette vulnérabilité pour accéder à des données sensibles ou installer des logiciels malveillants.
- En l’absence de correctif d’Apple, il est conseillé d’éviter les accessoires USB-C d’origine incertaine.
