Tech

Une faille de sécurité démontrée dans l'iPhone et l'iPad

ActualitéClassé sous :informatique , Internet , Charlie Miller

Un expert en sécurité, Charlie Miller, est parvenu à glisser un code malicieux dans une application acceptée et publiée sur l'AppStore. Grâce à elle, il peut fouiller dans les fichiers d'un iPhone ou d'un iPad.

L'iPhone aussi peut être victime de failles... © Apple

Charlie Miller est un chercheur en sécurité qui s'est illustré de nombreuses fois pour ses exploits contre les appareils et logiciels d'Apple. En 2009, lui et son collègue Colin Muller avaient ainsi montré comment prendre le contrôle d'un iPhone à l'aide de SMS truqués. Après avoir quitté la National Security Agency américaine (NSA), il travaille désormais pour le cabinet de conseil Accuvant Labs. Cela ne l'empêche pas de continuer à mettre à l'épreuve les produits de Cupertino. Après s'en être pris au MacBook Air, à Safari ou à l'iPhone en utilisant une faille SMS, il s'est de nouveau intéressé au téléphone de la firme. Cette fois, c'est à travers l'AppStore que Miller a pu s'infiltrer.

Il a réussi à faire valider par Apple une application (InstaStock) de suivi des cours de la Bourse. Instastock a donc été disponible plusieurs jours dans la boutique d'applications d'iOS et pouvait être téléchargée par n'importe quel utilisateur. Mais il lui était ensuite possible de lui faire exécuter du code non vérifié par Apple, changeant son comportement ou donnant accès aux informations du téléphone.

Dans le grand marché d'AppStore, des procédures de certification sécurisent efficacement les logiciels à télécharger. Mais la protection totale est difficile. © Apple

Pas d'explications techniques pour l'instant

Dans une vidéo que Charlie Miller vient de publier, il montre qu'il lui est possible de ne plus afficher les cours de la bourse et de les remplacer par une vidéo YouTube ou, pire, d'avoir accès à tous les fichiers du téléphone. Il peut donc télécharger à distance des fichiers comme le répertoire contenu dans le téléphone.

D'après iGeneration, la faille aurait un lien avec Nitro, le moteur JavaScript de Safari Mobile. « Ce dernier aurait la particularité de supporter la compilation à la volée (JIT) et par conséquent d'avoir la capacité de marquer des pages mémorisées en mémoire comme étant exécutables » explique le magazine. Apple avait d'ailleurs dans un premier temps réservé ce moteur à son seul navigateur, pour éviter que du code non signé soit exécuté par des applications.

Miller doit faire la démonstration de son exploit lors de la conférence SysCan de Taïwan qui débute dans quelques jours et il n'en dira pas plus tant qu'Apple n'aura pas corrigé cette faille. « La signature du code est importante. C'est ce qui nous évite d'être touché par des malwares. Apple doit corriger cette faille et assurer notre protection de nouveau » a-t-il commenté. En attendant, Apple a retiré l'application quelques heures après avoir été alertée.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour.

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !

Cela vous intéressera aussi