L'inscription d'appareils Apple expose les entreprises et les écoles au piratage informatique

Le service de gestion d’appareils et de matériel scolaire d’Apple, le DEP (Device Enrollment Program), souffre d’une grave faille de sécurité qui pourrait avoir un impact sur les entreprises, mais qui n’a pas été corrigée depuis des mois. Duo Security a publié ses conclusions aujourd'hui après avoir signalé le problème à Apple le 16 mai et estime que cela affecte tous les clients utilisant le service DEP.

Le rapport de Duo affirme que la faible authentification de DEP permet aux attaquants d'utiliser uniquement un numéro de série Apple pour associer un périphérique au serveur de gestion de périphériques mobiles d'une entreprise. l'attaquant. Selon Duo, DEP expose ainsi les organisations au potentiel des «périphériques malveillants» et des attaques d'ingénierie sociale en exploitant les informations acquises pour accéder davantage à un réseau.

Le protocole DEP d’Apple est utilisé par les entreprises, les établissements d’enseignement et les autres organisations pour offrir une configuration sans contact aux utilisateurs, reliant plusieurs appareils à un serveur central pour la configuration et le partage de contenu. Au nom de la simplicité, DEP peut donner aux nouveaux appareils un accès total avec rien de plus que le numéro de série – un détail non privé pouvant être copié à partir d'un périphérique ou généré artificiellement assez facilement – plutôt qu'un second facteur d'authentification.

La solution simple consiste à ajouter une authentification à deux facteurs obligatoire à DEP, mais Duo suggère également qu’Apple ajoute des limites de taux pour les demandes d’authentification de périphérique et réduise les informations renvoyées par DEP aux périphériques des registrants. Pour le moment, le cabinet suggère que les organisations utilisant le DEP requièrent une authentification supplémentaire sur leurs serveurs de gestion d'appareils mobiles et adoptent une stratégie de «confiance zéro» pour le partage d'informations avec les appareils inscrits.

LIS  Blockchain peut résoudre le problème de lootbox

Plus de quatre mois s’étant écoulés depuis que le rapport initial de Duo à Apple a été reconnu par la société, il est difficile de savoir quand le trou de sécurité sera corrigé. Duo présentera ses conclusions publiquement lors de la conférence sur la sécurité d'Ekoparty demain.


Lien source

Comments

comments

Laisser un commentaire