Première publication le 24 juillet 2007
Safari ouvre une faille de sécurité dans l’iPhone
Trois spécialistes américains affirment que des pirates peuvent prendre le contrôle de l’appareil et accéder aux SMS, au répertoire, aux appels vocaux…C’est une équipe d’experts américains en sécurité, de la société Independent Security Evaluators, qui l’affirme : il existe une faille dans l’iPhone qui permet à un pirate d’en prendre le contrôle et d’accéder à des informations
qui y sont stockées. Elle n’a pas encore été exploitée, mais les trois chercheurs, Charlie Miller, Jake Honoroff et Joshua Mason, ont voulu en prouver la réalité.Ils ont pris l’initiative, avant même que des problèmes soient signalés, de tester le téléphone-baladeur multimédia commercialisé par Apple
aux Etats-Unis depuis le 29 juin dernier.
‘ A cause de la grande quantité d’informations personnelles contenues dans
ces appareils mobiles, nous avons décidé de mener une analyse de sécurité de l’iPhone, justifient-ils
dans un rapport publié en ligne.
Les applications de navigation sur le Web et de consultation des e-mails sont exposées à des risques d’attaques à
distance. ‘. La cause du problème, selon eux, réside dans la version du navigateur Safari, utilisé sur l’iPhone.
Code malveillant
La prise de contrôle de l’appareil passe en effet par la mise en ligne, par le pirate, d’une page Web piégée. Première approche : le pirate envoie un e-mail contenant un lien vers un site frauduleux. Dans ce cas, si l’utilisateur
clique, un code malveillant s’exécute et le pirate, doté des droits d’administrateur, peut alors prendre la main sur l’appareil. Il accède à des informations comme les SMS, le répertoire, l’historique des appels, les messages vocaux, etc. Il peut
aussi récupérer les mots de passe et profiter de services payants sur le dos de l’utilisateur d’origine, voire stocker les conversations audio.Deuxième approche : une borne Wi-Fi déjà contrôlée par le pirate. Automatiquement, l’iPhone la repère et demande à l’utilisateur s’il veut s’y connecter. Une fois la connexion établie, le pirate peut également profiter de la brèche
ouverte par Safari.En revanche, on ne sait pas si une telle prise de contrôle permet de délier l’iPhone du réseau d’AT&T. Apple a en effet décidé de passer des accords exclusifs avec un opérateur pour chaque pays où il lancera son appareil mobile. Aux
Etats-Unis, chaque acheteur d’iPhone se retrouve automatiquement client d’AT&T. Les chercheurs d’Independent Security Evaluators n’ont pas effectué les tests permettant de vérifier s’il est possible de choisir un autre réseau.Les trois experts ne s’attardent pas sur les détails techniques de la faille, préférant en décrire les effets. Ils effectueront une démonstration lors de la conférence annuelle Blackhat début août et indiquent avoir prévenu Apple et
proposé un patch pour corriger la faille. En attendant la réponse du constructeur, ils font quelques recommandations de base aux utilisateurs, comme de ne pas aller sur des sites ou de ne pas se connecter à des bornes Wi-Fi qui n’inspirent pas
confiance et de ne pas cliquer sur des liens envoyés par e-mail. Des conseils somme toute assez classiques.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
