L’iPhone remplace le token mais présente des failles

RSA, l’unité d’affaires sécurité d’EMC, vient de sortir une solution d’authentification bi-factorielle (token) destinée à l’iPhone et téléchargeable gratuitement depuis l’App Store. Partant du constat que le smartphone d’Apple est de plus en plus largement présent dans le milieu professionnel, RSA met à disposition une application destinée à sécuriser l’accès au système de l'entreprise d’après les standards les plus élevés. En effet, un nouveau mot de passe unique est généré toutes les 60 secondes par l’application. Ainsi, les sociétés qui ont implémenté le système d’identification de RSA seront également en mesure d’utiliser leurs iPhones comme un authentificateur RSA SecurID. Il ne sera plus nécessaire de porter un token séparément sur soi, celui-ci étant remplacé par l’iPhone. Si l'iPhone peut constituer un outil pour la sécurité de l'entreprise, lui-même est toutefois loin d'être sûr. Preuve en est du peu de temps qu’il aura fallu à un hacker fameux pour contourner l’encryptage du smartphone (45 minutes). Une telle facilité menace en effet gravement son adoption par les entreprises, qui ne bénéficient pas d’une sécurité suffisante. Dans le même registre, on apprend aujourd’hui par Networkworld qu’un autre hacker bien connu a trouvé il y a déjà six semaines le moyen d’attaquer l’iPhone par le biais d’un sms, sans même qu’il soit nécessaire à son destinataire de suivre un lien ou de cliquer sur une pièce jointe… Charlie Miller en fera la démonstration dans le cadre de Black Hat, la conférence dédiée à la sécurité qui se tiendra à Las Vegas dès demain.