Des experts en informatique de l'Independent Security Evaluators (ISE) annoncent qu'ils ont "découvert" une vulnérabilité dans le système d'exploitation de l'iPhone d'Apple. L'information tenue sous embargo jusqu'à aujourd'hui, a été publiée dans le New York Times.
Leur rapport transmis à Apple le 17 juillet explique que moyennant une connexion Wi-Fi via le navigateur Safari ou grâce au réseau Botnet (par usurpation virale ou spoofing du site officiel d'Apple), il est possible de prendre le contrôle d'un iPhone à distance, ce que nous avions déjà dit il y a deux semaines, quand PandaLabs a découvert l'existence du Troyen Aifone.a et de la faille dans le système d'exploitation de l'iPhone, dont pratiquement personne ne parlait.
Dans leur rapport, les trois experts affirment que la vulnérabilité est d'autant plus grave que « tous les processus essentiels tournent avec les privilèges d'administrateur, ce qui signifie que toute application touchée peut alors servir de point d'accès au terminal ».
Pour les utilisateurs de l'iPhone ne connaissant pas les méthodes du réseau Botnet et des PC zombies, les trois experts expliquent que l'iPhone peut être contaminé et piraté en visitant simplement une page usurpée dans laquelle se loge le Troyen.
Ainsi que nous l'avons expliqué à propos du mode de fonctionnement du Botnet, lorsque le visiteur se trouve sur la page piratée, le ver est pour ainsi dire dans la pomme !
En effet, les pirates n'ont plus qu'à ouvrir à l'insu de l'utilisateur un canal d'accès vers son iPhone pour télécharger toutes ses données personnelles, y compris ses numéros de téléphone et ses adresses e-mails privées. Les experts confirment qu'ils sont même parvenus à donner un appel téléphonique, à faire vibrer l'appareil, vérifier l'historique des connexions Internet, envoyer un message SMS, déclencher l'enregistrement audio, lire les contacts vocaux, et plus encore !
Apple va donc devoir corriger son système d'exploitation de toute urgence et proposer un premier "fix" à ses milliers de clients, un mois à peine après la sortie de l'iPhone.
Je ne suis pas certain qu'il faille applaudir la découverte, car si la faille est de taille, elle aurait déjà pu être corrigée puisque PandaLabs savait que le ver était dans la pomme depuis le 10 juillet 2007 !
Pour plus d'information, le site Security Evaluators décrit la vulnérabilité de l'iPhone dans plusieurs articles rassemblés sous le titre "Exploiting the iPhone".
Mise à jour de sécurité
Suite à la découverte de ces vulnérabilités, Apple a publié une mise à jour de sécurité du firmware de l'iPhone. Cette version 1.0.1 (1C25) est téléchargeable par iTunes. Ne soyez pas surpris si Apple annonce d'autres mises à jour.
Suite à la découverte de ces vulnérabilités, Apple a publié une mise à jour de sécurité du firmware de l'iPhone. Cette version 1.0.1 (1C25) est téléchargeable par iTunes. Ne soyez pas surpris si Apple annonce d'autres mises à jour.
Aucun commentaire :
Enregistrer un commentaire