Un expert en sécurité, Charlie Miller, est parvenu à glisser un code malicieux dans une application acceptée et publiée sur l'AppStore. Grâce à elle, il peut fouiller dans les fichiers d'un iPhone ou d'un iPad.

Charlie Miller est un chercheur en sécurité qui s'est illustré de nombreuses fois pour ses exploits contre les appareils et logicielslogiciels d'Apple. En 2009, lui et son collègue Colin Muller avaient ainsi montré comment prendre le contrôle d'un iPhone à l'aide de SMSSMS truqués. Après avoir quitté la National Security Agency américaine (NSA), il travaille désormais pour le cabinet de conseil Accuvant Labs. Cela ne l'empêche pas de continuer à mettre à l'épreuve les produits de Cupertino. Après s'en être pris au MacBook Air, à Safari ou à l'iPhone en utilisant une faillefaille SMS, il s'est de nouveau intéressé au téléphone de la firme. Cette fois, c'est à travers l'AppStore que Miller a pu s'infiltrer.

Il a réussi à faire valider par Apple une applicationapplication (InstaStock) de suivi des cours de la Bourse. Instastock a donc été disponible plusieurs jours dans la boutique d'applications d'iOSiOS et pouvait être téléchargée par n'importe quel utilisateur. Mais il lui était ensuite possible de lui faire exécuter du code non vérifié par Apple, changeant son comportement ou donnant accès aux informations du téléphone.

Dans le grand marché d'AppStore, des procédures de certification sécurisent efficacement les logiciels à télécharger. Mais la protection totale est difficile. © Apple

Dans le grand marché d'AppStore, des procédures de certification sécurisent efficacement les logiciels à télécharger. Mais la protection totale est difficile. © Apple

Pas d'explications techniques pour l'instant

Dans une vidéo que Charlie Miller vient de publier, il montre qu'il lui est possible de ne plus afficher les cours de la bourse et de les remplacer par une vidéo YouTubeYouTube ou, pire, d'avoir accès à tous les fichiers du téléphone. Il peut donc télécharger à distance des fichiers comme le répertoire contenu dans le téléphone.

D'après iGeneration, la faille aurait un lien avec Nitro, le moteur JavaScript de Safari Mobile. « Ce dernier aurait la particularité de supporter la compilation à la volée (JIT) et par conséquent d'avoir la capacité de marquer des pages mémorisées en mémoire comme étant exécutables » explique le magazine. Apple avait d'ailleurs dans un premier temps réservé ce moteur à son seul navigateurnavigateur, pour éviter que du code non signé soit exécuté par des applications.

Miller doit faire la démonstration de son exploit lors de la conférence SysCan de Taïwan qui débute dans quelques jours et il n'en dira pas plus tant qu'Apple n'aura pas corrigé cette faille. « La signature du code est importante. C'est ce qui nous évite d'être touché par des malwares. Apple doit corriger cette faille et assurer notre protection de nouveau » a-t-il commenté. En attendant, Apple a retiré l'application quelques heures après avoir été alertée.