nos newsletters
Abonnez-vous à Micro Hebdo : 1,23€ / n°
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à 01Business et Technologies : 3,20€ / n°
Abonnez-vous à la version digitale
Une importante faille de sécurité découverte dans les iPhone
Un chercheur a réussi à prendre le contrôle d'un iPhone à distance grâce à une application pourtant autorisée par Apple. Cupertino a vu rouge et a supprimé son compte développeur.
Ceux qui s'intéressent de près à la protection des produits Apple connaissent bien son nom. Charlie Miller est un expert en sécurité doublé d’un hacker réputé du Mac et de l’iPhone. Il s’est notamment distingué en piratant un MacBook en quelques secondes, ou encore en prenant le contrôle d'un iPhone au moyen d'un simple SMS.
agrandir la photo
Cette fois, le génial bidouilleur est allé trop loin aux yeux d’Apple. Après la présentation de son dernier hack, la firme à la pomme l'a exclu de son programme de développeurs pour « au moins un an » et supprimé l’application (Instastock) qu’il avait publiée sur l’App Store.
Miller s’en était servi pour dévoiler une importante faille de sécurité d'iOS, le système d'exploitation d'Apple, qui lui a permis de prendre à distance le contrôle d’un iPhone.
Un code transmis à distance
Sa vidéo (voir ci-dessous) parle d’elle-même. On y voit le chercheur installer son logiciel sur un iPhone. Instastock, qui ne contient pas de code malveillant ni de commande interdite aux applis tierces, a été validé sans problème par Apple. Mais Miller avait conçu son programme pour qu’il communique avec un ordinateur distant chargé de l'infecter : c'est ce dernier qui a transmis la « charge utile » (le code malveillant) à l'application au moment de son démarrage.
Ce « virus » exploite une faille dans les restrictions de signature de code d'iOS afin d'envoyer des commandes non autorisées au terminal. Notre hacker peut alors faire tout ce qu’il désire sur le smartphone, comme le montre la vidéo. Le faire vibrer, lancer un morceau de Rick Astley sur YouTube… ou, bien plus grave, fouiller dans l’appareil pour récupérer n'importe quel fichier – sans même que son propriétaire s’en rende compte !
Cette faille béante prouve que la validation préalable des applications est loin de résoudre tous les problèmes de sécurité des mobiles – et qu'elle peut même tromper les utilisateurs en leur faisant croire qu'ils sont à l'abri des virus. Charlie Miller, qui doit expliquer sa découverte dans quelques jours à la conférence Syscan, à Taïwan, a en tout cas moyennement goûté son exclusion par les responsables d'Apple, qu’il traite notamment de « salauds » et de « malpolis » sur son fil Twitter.
Apple n'a pas encore réagi
Il avait pourtant prévenu la firme il y trois semaines, sans toutefois préciser que son hack reposait sur une application présente sur l'App Store. « S'il n'y avait pas eu d'appli sur l'App Store, on aurait dit qu’Apple n’accepterait jamais une application qui profite de cette faille », résume Miller face aux critiques, qui justifient la sanction d'Apple par le fait qu'il n'a pas respecté les conditions d’utilisation du magasin en ligne.
Apple n'a toujours pas réagi, mais il y a gros à parier que ses ingénieurs travaillent déjà à réparer le problème, qui touche les versions 4.3 à 5 d'iOS. Il est probable que la première mise à jour d'iOS 5 apportera un correctif.
Détail amusant : après cette histoire, Miller s’est vu proposer de changer de crémerie. Brandon Watson, chef des relations avec les développeurs pour Windows Phone, l’a ainsi interpellé sur Twitter : « Hé Charlie, désolé pour la disparition de ton compte développeur iOS. Tu veux un compte dev Windows Phone gratuit ? »
Actu précédente
Actu Suivante
:)
de
garywan111108
, posté le 08 novembre 2011 à 18h36
elementaire mon cher watson !!
c'est stupide de bloquer le compte... bien la reconnaissance apple, we lovin' it !
c'est stupide de bloquer le compte... bien la reconnaissance apple, we lovin' it !
alerter le modérateur
Respect des conditions
de
povni
, posté le 09 novembre 2011 à 10h04
"qui justifient la sanction d'Apple par le fait qu'il n'a pas respecté les conditions d’utilisation du magasin en ligne."
C'est sûr qu'un pirate avec des intentions malveillantes va se poser la question de savoir s'il respecte les conditions d'utilisation de l'App Store :D
C'est sûr qu'un pirate avec des intentions malveillantes va se poser la question de savoir s'il respecte les conditions d'utilisation de l'App Store :D
alerter le modérateur
Correction
de
FataBaby
, posté le 16 novembre 2011 à 14h54
Je crois que tu n'as pas bien compris, miller n'est pas un cracker mais un hacker, ce qui signifie qu'il n'a pas d'intentions malveillantes.
Je vais prendre une métaphore: imagine qu'un cracker est un braqueur de banque. Ben un hacker ce serait un type qui s'amuserait à braquer une banque (en déjouant l'alarme, les vigiles, etc...) mais une fois arrivé au coffre, il se prend en photo pour montrer qu'il sait le faire et s'en va sans rien prendre. Le cracker lui, va partir avec le sac plein de billets.
Les hackers font des choses très bien: ils découvrent des failles de sécurité (qui peuvent ainsi être corrigées avant que quelqu'un ne s'en serve réellement), ils créent des os/logiciels/etc très utiles, etc...
Ne confondez pas tout ;)
Je vais prendre une métaphore: imagine qu'un cracker est un braqueur de banque. Ben un hacker ce serait un type qui s'amuserait à braquer une banque (en déjouant l'alarme, les vigiles, etc...) mais une fois arrivé au coffre, il se prend en photo pour montrer qu'il sait le faire et s'en va sans rien prendre. Le cracker lui, va partir avec le sac plein de billets.
Les hackers font des choses très bien: ils découvrent des failles de sécurité (qui peuvent ainsi être corrigées avant que quelqu'un ne s'en serve réellement), ils créent des os/logiciels/etc très utiles, etc...
Ne confondez pas tout ;)
alerter le modérateur
à lire aussi
SUR LES MÊMES THÈMES 
