Accueil
Cyberécurité
Logiciels malveillants

DEP, le service de gestion de terminaux mobiles d’Apple n’est pas sûr

Cédric Mialaret
Cyberécurité

Device Enrollment Program (DEP), le service gratuit de gestion de terminaux mobiles (MDM) d’Apple, pour iPhones, iPads et Macs, n’est pas sûr.

C’est ce qu’affirme Duo Labs, qui a analysé la sécurité de DEP ces derniers mois. Le rapport complet est disponible sur leur site.

Ils ont trouvé deux faiblesses de l’authentification utilisée par bien des organisations pour inscrire leurs appareils dans leur serveur de MDM, avec pour conséquences :

  • La possibilité pour un attaquant d’inscrire n’importe quel appareil dans le serveur MDM d’une organisation, ce qui pourrait lui conférer des accès privilégiés pour pénétrer encore plus loin dans le réseau.
    Toutes les entreprises qui ont fait l’économie d’une authentification de l’utilisateur sont vulnérables ;
  • Ou, un attaquant peut utiliser les numéros de série obtenus par renseignement d’origine source ouverte, ingénierie sociale, voire force brute, pour interroger l’interface de programmation (API) du DEP pour obtenir des profils d’appareils, et les informations associées comme les numéros de téléphones ou les adresses de courriels, ce qui pourrait servir de base à une attaque par ingénierie sociale des équipes de support informatique ou de l’IT.

La première faiblesse est d’être compatible avec l’authentification de l’utilisateur, mais de la rendre optionnelle.

La deuxième faiblesse est qu’avant l’inscription d’un appareil mobile, son numéro de série sert d’authentification au DEP. Or il est facile de prédire les numéros de série et de les construire selon des schémas bien connus.

Apple a été informée de la recherche de Duo Labs le 16 mai 2018. Apple en a pris bonne note, mais n’a pas publié de correctif de sécurité ou de bulletin de sécurité depuis, alors que plus de quatre mois se sont écoulés.

Il est recommandé aux entreprises d’exiger l’authentification sur tout serveur MDM utilisant DEP, et de n’accorder que peu, ou pas de privilèges supplémentaires aux appareils inscrits.

Duo Labs suggère à Apple de rendre l’authentification obligatoire, d’implémenter des limites au nombre de requêtes par seconde à l’API DEP, et de limiter les informations offertes par l’API.