L’iPhone 4 n’a pas résisté aux hackers du Pwn2Own

Le concours de sécurité Pwn2Own, qui s'achève ce soir, 11 mars, a une fois de plus tenu ses promesses : il a permis de révéler des failles non seulement dans l'iPhone 4 mais dans IE8, Safari et des téléphones BlackBerry.
Charlie Miller est un habitué du concours de hacking Pwn2Own, qui a lieu chaque année à l'occasion de la conférence CanSecWest à Vancouver. Voilà quatre ans ? un record ? qu'il remporte les épreuves consacrées aux appareils Apple. Il y a deux ans, déjà, au même endroit, il réussissait à prendre le contrôle d'un MacBook en quelques secondes. L'année dernière, il compromettait la toute nouvelle version de Mac OS X (Snow Leopard) et de Safari grâce à ses recettes maison.
Cette année, c'est à l'iPhone 4 que notre homme s'en est pris, toujours pour la beauté du « sport ». Et, encore une fois, Charlie Miller est vite parvenu à ses fins. Il a réussi à récupérer de nombreuses informations personnelles, dont la liste des contacts sur un iPhone 4 non jailbreaké (équipé d'iOS 4.2.1, la version 4.3 n'étant pas encore sortie lors de la préparation du concours). Associé cette année à un autre expert en sécurité informatique, il n'a pas donné de détail quant à son nouvel exploit : c'est en effet interdit par le règlement, qui prévoit que les participants fournissent leurs informations à l'organisateur du concours, lequel ne les rend publiques que si l'entreprise concernée ne corrige pas la faille dans les six mois suivants.
Un BlackBerry, un MacBook et un PC Windows 7 compromis
Une mesure indispensable, tant les matériels hackés lors du Pwn2Own sont aussi sensibles que courants. Car, si la version 4.3 d'iOS corrige la faille exploitée par Miller, ce n'est pas le cas pour d'autres appareils. A l'image du BlackBerry Torch, dont la sécurité a également été contournée hier par une autre équipe, quelques secondes après son branchement à un PC.
La compétition la plus prestigieuse du Pwn2Own, qui concerne les navigateurs, a eu lieu avant-hier, mercredi. Là encore, Apple et Microsoft en ont pris pour leur grade. Selon le site Ars Technica, l'équipe des Français de Vupen Security a mis à profit une faille de Safari pour prendre le contrôle de l'ordinateur et lancer la calculatrice de Mac OS « en 5 secondes ». Une chance, sachant que l'équipe travaillait sur son exploit depuis plusieurs semaines et qu'Apple, sans doute dans l'espoir de la contrer, avait mis à jour Safari quelques heures seulement avant le concours. Las ! La version 5.0.4 du navigateur ne corrige pas la faille décelée par les hackers français.
Internet Explorer 8 a lui aussi été compromis lors du concours. C'est l'Irlandais Stephen Fewer qui s'en est chargé, en concoctant un exploit fondé sur pas moins de trois vulnérabilités zero day. Là encore, il a, pour prouver son exploit, lancé la calculatrice Windows et écrit un petit fichier sur le disque dur de la machine.
Plusieurs programmes et matériels ont cependant résisté aux hackers? faute de participants ! Chrome 10, Firefox 3.6, Windows Phone 7 et Android ont ainsi vaincu « par forfait » : les hackers qui devaient s'en charger se sont tout simplement désistés.
-
-
abriotde
Androïd est plus vendu que l'iPhone alors je vois pas en quoi il serait moins prestigieux de le hacké... Mais quand on voit l'efficacité des développement Google on comprends vite sa supériorité... non sans faille d'accord mais tout de même très supérieur à Apple.
-
abriotde
La vérité c'est que chrome est si difficile à hacker que personne n'a réussi avant le concours alors personne ne pouvait se présenter. Il évolue de plus si vite qu'il n'est pas simple de repérer des failles qui seront de plus si vite corrigé qu'elle ne seront pas exploitable... De loin selon moi c'est le navigateur le plus sécurisé.
Apple m'amuse, il tente de le mettre à jour une seconde avant mais cela ne change rien. Alors il le remet à jour une seconde après pour pouvoir dire qu'il s'agit d'une vielle version et qu'il suffit d'acheter le dernière $$ version. -
Butch06
Oui c'est marqué nulle part... Comme un peu l'eau ca mouille et le feux ca brule
-
flaburgan
Pour répondre à votre question, un chercheur avait bien réussi à cracker Android, mais il en a fait part à google une semaine avant le concours, pensant que la faille utilisée n'était pas autorisée. Google a donc corrigé Android, et la faille était tout ce qu'il y a de plus autorisé dans le concours. Le chercheur s'en mord donc les doigts et passe à côté de 15 000 dollars...
-
flaburgan
Pour répondre à votre question, un chercheur avait bien réussi à cracker Android, mais il en a fait part à google une semaine avant le concours, pensant que la faille utilisée n'était pas autorisée. Google a donc corrigé Android, et la faille était tout ce qu'il y a de plus autorisé dans le concours. Le chercheur s'en mord donc les doigts et passe à côté de 15 000 dollars...
-
dolteki
Il n'est marqué nulle part que les produits libres sont plus sécurisés. seulement, c'est plus prestigieux pour un hacker de hacker un iPhone qu'un Android ou un WP, d'où les désistements.
-
Dashan
Actuellement de ce que je lit de l'article c'est que l'environnement Apple et Microsoft on en eu pour leur frais effectivement, que les navigateur alternatif n'ont pas eu de challenger mais concernant Android nous n'avons aucune information sur l'article donc dire qu'ils se sont casser les dents dessus est un peu prématuré, peut être que oui peut être que non.
Tous ce que je peut dire c'est qu'avec la progression d'Android au niveau mondiale je pense que les hacker vont se tourner vers Android comme ils le font sur l'Iphone.
Aprés cette competitions n'est pas là pour casser du sucre mais bien pour ameliorer les choses de manière sportives. -
-
tyranausor
Quand on voit bon nombre de logiciel "prisonniers" (propriétaires) hackés par rapport au logiciels libres, on se dit que le libre est moins bourré de failles que les logiciels "fermé", parfois jalousement! Longue vie au libre!
Votre opinion