Sécurisation de l'iPhone Jailbreaké

Une fois que vous avez jailbreaké votre iPhone, vous êtes tous content car vous pouvez installer plein de choses et à vous la liberté.

Oui mais avec la liberté viennent les vers, les virus, les fuites d'informations, etc. Même les iPhone non jailbreaké pourrait être la cible de futurs virus, comme en témoigne le développement d'antivirus pour iPhone.

Tout d'abord, une règle de base : n'installez AUCUN logiciel pirate sur l'iPhone.
En effet rien ne vous garanti qu'un petit peu de code malveillant n'a pas été ajouté au crack du logiciel.

Ce code permettant au choix :
- de récupérer votre mot de passe AppStore
- de voler tous vos données personnelles (contacts, bancaires, etc)
- d'utiliser votre téléphone comme rebond pour aller sur Internet ou simplement téléphoner gratuitement


Passons à l'élément essentiel à mettre en œuvre pour ne pas ouvrir la porte aux virus : sécuriser le SSH.

Pourquoi ?

Tout à commencé début novembre 2009 avec un virus qui envoi un sms aux utilisateurs iPhone leur expliquant que celui-ci a été hacké, qu'il faut aller sur un site et payer 5€ afin de supprimer le virus et savoir comment protéger l'iPhone.



Un deuxième virus plus virulent (dans le sens propagation) à vu le jour quelques jours plus tard. Celui ci change le fond d'écran et transforme le téléphone en zombie participant à un botnet pouvant recevoir des ordres.



Le fond d'écran représente Rick Astley (You've been Rick Rolled) et le virus se nomme ikee (Hacked ?). Ce n'est apparemment qu'un test laissant présager un phénomène de plus grande ampleur.

Ce dernier apparait deux jours plus tard sous le doux nom de Iphone/Privacy.A. Ce ver récupère toutes les données de l'iPhone et change aussi le mot de passe de root...

Ces trois vers ont comme point commun l'exploitation d'un défaut de sécurisation de SSH qui est souvent installé pour avoir un accès total au téléphone.

Mais comme personne ne lit les manuels, ils en oublient de changer les mots de passe des utilisateurs root et mobile.

J'ai écris un tuto sur le forum d'iPhonezine qui explique comment changer les mots de passe et plus encore.

Dans tous les cas il faut au moins changer les mots de passe de root et de mobile.



Une fois que cette petite sécurisation est faite, on peut maintenant installer quelques applications qui augmente de manière significative la sécurité toute relative d'un iPhone non jailbreaké.

Pour commencer, évitons la fuite d'information et le traçage en utilisant Privacy.

En effet certaines applications officielles récupèrent sans vous dire quoi que ce soit les infos suivantes :

• iPhone's unique ID
  
• iPhone model
  
• OS version
  
• Application version
  
• If the application is cracked/pirated
  
• If your iPhone is jailbroken
  
• Time & date you start the application
  
• Time & date you close the application
  
• Your current latitude & longitude
  
• Your gender (if Facebook enabled)
  
• Your birth month (if Facebook enabled)
  
• Your birth year (if Facebook enabled)
  

Le site I-Phone-Home liste les applis et ce qu'elles font (spyware, contacte des serveurs, etc). En ce moment 40 % des applications payantes et 56 % des applications gratuites de l'Apple store sont un danger pour vos données.

En allant plus loin, un ingénieur suisse a démontré qu'une application disponible sur l'Apple store pourrait très bien voler toutes vos données.

Aucune vulnérabilité n’est exploitée, SpyPhone utilise seulement des fonctionnalités offertes par les API fournies avec le SDK du firmware 3.1.2 d’Apple.



Bien sûr, une telle application ne sera en principe jamais validée par Apple pour se retrouver sur l’AppStore, mais selon l’auteur de SpyPhone, il est possible de détourner les mesures de contrôle de Cupertino, par exemple en encryptant les données ou en usant de subterfuges du langage Objective-C.

Son rapport complet est disponible ici : http://seriot.ch/resources/talks_papers/iPhonePrivacy.pdf

Malheureusement Privacy n'est pas suffisant, en effet certains éléments malicieux se retrouvent dans les bandeaux publicitaires afin de vous inciter à appeler des numéros surtaxés. Il suffit de cliquer sur la pub pour que le téléphone appelle le numéro sans crier gare !
C'est un peu le même principe que les SPAM SMS (au passage, utilisez le 33 700 lorsque vous recevez un SPAM SMS)...

Pour contrer la menace il faut utiliser un logiciel comme Firewall IP (achetez le, ne le piratez pas sinon vous risquez quelques ennuis...)

.


Enfin, en cas de vol de votre iPhone, les outils comme LockDown ou iProtect qui verrouillent l'accès aux applications de votre téléphone sont une bonne chose.

le lien iphon.fr sur privacy semble ne pas marcher.

C'est à cause du point d'exclamation, je vais chercher une autre source.

EDIT : Corrigé, merci Nico

merci je vais essayé privacy ce soir

Juniper propose une suite logiciel pour sécuriser votre mobile :
http://pro.clubic.com/it-business/actualite-375140-solution-securite-mobile-juniper-entretien.html

et DrWeb un antivirus gratuit pour Android ^^

Et pour juniper c'est une solution pro basée sur un mode client-serveur...
Et puis ils "sécuriseront" un iphone non JB, jamais un JB.
Pour cela un simple profil exchange avec applications de restrictions (c'est ça la sécu pour eux...) fonctionne aujourd'hui.