L’iPhone 4 n’a pas résisté aux hackers du Pwn2Own
Le concours de sécurité Pwn2Own, qui s'achève ce soir, 11 mars, a une fois de plus tenu ses promesses : il a permis de révéler des failles non seulement dans l'iPhone 4 mais dans IE8, Safari et des téléphones BlackBerry.
Charlie Miller est un habitué du concours de hacking Pwn2Own, qui a lieu chaque année à l'occasion de la conférence CanSecWest à Vancouver. Voilà quatre ans ? un record ? qu'il remporte les épreuves consacrées aux appareils Apple. Il y a deux ans, déjà, au même endroit, il réussissait à prendre le contrôle d'un MacBook en quelques secondes. L'année dernière, il compromettait la toute nouvelle version de Mac OS X (Snow Leopard) et de Safari grâce à ses recettes maison.
Cette année, c'est à l'iPhone 4 que notre homme s'en est pris, toujours pour la beauté du « sport ». Et, encore une fois, Charlie Miller est vite parvenu à ses fins. Il a réussi à récupérer de nombreuses informations personnelles, dont la liste des contacts sur un iPhone 4 non jailbreaké (équipé d'iOS 4.2.1, la version 4.3 n'étant pas encore sortie lors de la préparation du concours). Associé cette année à un autre expert en sécurité informatique, il n'a pas donné de détail quant à son nouvel exploit : c'est en effet interdit par le règlement, qui prévoit que les participants fournissent leurs informations à l'organisateur du concours, lequel ne les rend publiques que si l'entreprise concernée ne corrige pas la faille dans les six mois suivants.
Un BlackBerry, un MacBook et un PC Windows 7 compromis
Une mesure indispensable, tant les matériels hackés lors du Pwn2Own sont aussi sensibles que courants. Car, si la version 4.3 d'iOS corrige la faille exploitée par Miller, ce n'est pas le cas pour d'autres appareils. A l'image du BlackBerry Torch, dont la sécurité a également été contournée hier par une autre équipe, quelques secondes après son branchement à un PC.
La compétition la plus prestigieuse du Pwn2Own, qui concerne les navigateurs, a eu lieu avant-hier, mercredi. Là encore, Apple et Microsoft en ont pris pour leur grade. Selon le site Ars Technica, l'équipe des Français de Vupen Security a mis à profit une faille de Safari pour prendre le contrôle de l'ordinateur et lancer la calculatrice de Mac OS « en 5 secondes ». Une chance, sachant que l'équipe travaillait sur son exploit depuis plusieurs semaines et qu'Apple, sans doute dans l'espoir de la contrer, avait mis à jour Safari quelques heures seulement avant le concours. Las ! La version 5.0.4 du navigateur ne corrige pas la faille décelée par les hackers français.
Internet Explorer 8 a lui aussi été compromis lors du concours. C'est l'Irlandais Stephen Fewer qui s'en est chargé, en concoctant un exploit fondé sur pas moins de trois vulnérabilités zero day. Là encore, il a, pour prouver son exploit, lancé la calculatrice Windows et écrit un petit fichier sur le disque dur de la machine.
Plusieurs programmes et matériels ont cependant résisté aux hackers? faute de participants ! Chrome 10, Firefox 3.6, Windows Phone 7 et Android ont ainsi vaincu « par forfait » : les hackers qui devaient s'en charger se sont tout simplement désistés.
