(Mise à jour) Apple colmate la faille de l'iPhone
par mail
l'article
Mise à jour (2 août 2007)
Après la découverte, il y a une semaine, d'une faille de sécurité dans l'iPhone par des experts de la société américaine Independent Security Evaluators, Apple a publié le 31 juillet un patch logiciel pour colmater la brèche par laquelle des pirates pouvaient prendre le contrôle de l'appareil.
Ce correctif est disponible en téléchargement sur iTunes, et non pas sur le site d'Apple où sont généralement publiées les mises à jour. La procédure est tout de même détaillée sur le site du constructeur. L'utilisateur doit connecter son iPhone à son ordinateur et aller à la rubrique Check for Updates du menu de la plate-forme de téléchargement.
Tout cela ne concerne pour l'heure que les utilisateurs américains, l'iPhone n'étant sorti qu'aux Etats-Unis. La version européenne de l'appareil, attendue au second semestre, intégrera le correctif.
Première publication le 24 juillet 2007
Safari ouvre une faille de sécurité dans l'iPhone
Trois spécialistes américains affirment que des pirates peuvent prendre le contrôle de l'appareil et accéder aux SMS, au répertoire, aux appels vocaux...
C'est une équipe d'experts américains en sécurité, de la société Independent Security Evaluators, qui l'affirme : il existe une faille dans l'iPhone qui permet à un pirate d'en prendre le contrôle et d'accéder à des informations qui y sont stockées. Elle n'a pas encore été exploitée, mais les trois chercheurs, Charlie Miller, Jake Honoroff et Joshua Mason, ont voulu en prouver la réalité.
Ils ont pris l'initiative, avant même que des problèmes soient signalés, de tester le téléphone-baladeur multimédia commercialisé par Apple aux Etats-Unis depuis le 29 juin dernier. “ A cause de la grande quantité d'informations personnelles contenues dans ces appareils mobiles, nous avons décidé de mener une analyse de sécurité de l'iPhone, justifient-ils dans un rapport publié en ligne. Les applications de navigation sur le Web et de consultation des e-mails sont exposées à des risques d'attaques à distance. ”. La cause du problème, selon eux, réside dans la version du navigateur Safari, utilisé sur l'iPhone.
Code malveillant
La prise de contrôle de l'appareil passe en effet par la mise en ligne, par le pirate, d'une page Web piégée. Première approche : le pirate envoie un e-mail contenant un lien vers un site frauduleux. Dans ce cas, si l'utilisateur clique, un code malveillant s'exécute et le pirate, doté des droits d'administrateur, peut alors prendre la main sur l'appareil. Il accède à des informations comme les SMS, le répertoire, l'historique des appels, les messages vocaux, etc. Il peut aussi récupérer les mots de passe et profiter de services payants sur le dos de l'utilisateur d'origine, voire stocker les conversations audio.
Deuxième approche : une borne Wi-Fi déjà contrôlée par le pirate. Automatiquement, l'iPhone la repère et demande à l'utilisateur s'il veut s'y connecter. Une fois la connexion établie, le pirate peut également profiter de la brèche ouverte par Safari.
En revanche, on ne sait pas si une telle prise de contrôle permet de délier l'iPhone du réseau d'AT&T. Apple a en effet décidé de passer des accords exclusifs avec un opérateur pour chaque pays où il lancera son appareil mobile. Aux Etats-Unis, chaque acheteur d'iPhone se retrouve automatiquement client d'AT&T. Les chercheurs d'Independent Security Evaluators n'ont pas effectué les tests permettant de vérifier s'il est possible de choisir un autre réseau.
Les trois experts ne s'attardent pas sur les détails techniques de la faille, préférant en décrire les effets. Ils effectueront une démonstration lors de la conférence annuelle Blackhat début août et indiquent avoir prévenu Apple et proposé un patch pour corriger la faille. En attendant la réponse du constructeur, ils font quelques recommandations de base aux utilisateurs, comme de ne pas aller sur des sites ou de ne pas se connecter à des bornes Wi-Fi qui n'inspirent pas confiance et de ne pas cliquer sur des liens envoyés par e-mail. Des conseils somme toute assez classiques.
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
