Une vulnérabilité de sécurité découverte dans le programme d’inscription des appareils (DEP) d’Apple pourrait permettre à un attaquant d’accéder à un réseau d’entreprise ou scolaire.
Le DEP est un service gratuit offert par Apple aux entreprises et aux écoles permettant la configuration automatique de nouveaux appareils, allant des applications personnalisées aux paramètres VPN. Tout ce dont vous avez besoin est le numéro de série de l’appareil, et c’est précisément la source du problème mis au jour par un chercheur en sécurité.
De nombreuses entreprises, écoles et autres organisations qui achètent en masse des appareils Apple utilisent un serveur de gestion des appareils mobiles (MDM). Cela leur permet de configurer rapidement un nouvel appareil avec toutes les applications et les paramètres nécessaires pour cette organisation.
Le programme d’inscription des appareils d’Apple (DEP) est un moyen rapide et automatique d’autoriser un nouvel appareil à accéder au MDM. Le processus nécessite simplement un numéro de série et, à condition que le numéro soit valide et associé à un périphérique fourni par Apple ou un revendeur agréé, l’accès sera accordé.
Le serveur MDM peut être configuré pour demander un nom d’utilisateur et un mot de passe, mais certaines organisations ne le font pas car elles considèrent que le contrôle du numéro de série est suffisant.
Le problème, expliqué par Duo Research, est double. Tout d’abord, il n’est pas nécessairement difficile d’obtenir le numéro de série d’un appareil appartenant à un employé ou à un étudiant. Juste un peu d’ingéniosité, par exemple en simulant un appel téléphonique du service informatique pour demander le numéro de série à des fins de contrôle d’entreprise. L’accès au numéro de série permettrait à un attaquant d’interroger l’API DEP afin d’obtenir des informations sur l’organisation pouvant être utilisées pour activer d’autres formes d’attaque. Et comme l’API DEP ne limite pas les requêtes, les attaques par force brute peuvent également être utilisées pour trouver des numéros de série.
Deuxièmement, un numéro de série valide pourrait être généré pour permettre aux attaquants d’enregistrer leur appareil sur le serveur MDM.
Les numéros de série sont prévisibles et sont construits en utilisant un schéma bien connu. Cela signifie que vous pouvez générer des numéros de série valides et utiliser l’API DEP pour vérifier s’ils sont enregistrés auprès de la DEP, sans avoir à connaître nécessairement le numéro de série d’un périphérique déjà enregistré.
Dans les configurations où un serveur MDM associé n’applique pas d’authentification supplémentaire, un attaquant peut potentiellement enregistrer tout périphérique sur le serveur MDM d’une organisation. La possibilité d’enregistrer un périphérique sélectionné sur le serveur MDM d’une entreprise peut avoir des conséquences importantes, telles que l’accès aux ressources privées d’une organisation ou même un accès VPN complet aux systèmes internes.
Duo a informé Apple en mai de cette année et n’a publié ses découvertes qu’aujourd’hui. Cependant, cela indique qu’Apple a choisi de ne pas résoudre le problème, mais simplement de conseiller les organisations d’activer l’option d’authentification dans MDM.