Un développeur iPhone et hacker, Jonathan Zdziarski, a prouvé la présence de failles de sécurité dans le chiffrement du smartphone de Apple.
Ce chercheur de chez McAfee (entreprise spécialisée dans la sécurité informatique, ndlr) a en effet prouvé que l’iPhone 3GS n’est pas plus sécuritaire que l’iPhone 3G ou que l’iPhone première génération. « Les données de la mémoire vive peuvent être extraites en deux minutes et l’entièreté du disque peut être exportée en environ 45 minutes », explique-t-il. Il suffirait de mettre la main sur un seul fichier pour obtenir de nombreuses informations confidentielles. L’iPhone est un appareil utilisé par de plus en plus d’organisations. Une telle faille s’avère donc assez dangereuse; mais Apple n’a toujours pas réagit.
L’iPhone 3G S vulnérable à une attaque par SMS. Il serait possible de prendre à distance le contrôle d’un iPhone, grâce à un simple SMS. Une faille de sécurité qu’Apple travaille à corriger. Lors de la conférence SyScan, qui s’est tenue les 2 et 3 juillet 2009 à Singapour, le spécialiste en sécurité Charlie Miller a expliqué qu’il était possible de prendre à distance le contrôle du dernier-né des téléphones d’Apple. Et ce au moyen d’un simple SMS.
Selon le coauteur de The Mac Hacker’s Handbook, un pirate malintentionné pourrait, grâce à un tel message, installer un code malicieux et prendre le contrôle du smartphone. Il serait ainsi possible d’utiliser le GPS de l’iPhone pour localiser son propriétaire, de mettre en marche le micro pour écouter ce qui se passe, etc., ou encore d’ajouter l’appareil à un parc de machines zombies en vue d’une future attaque.
Après avoir été «jailbreaké» (permettant notamment à ses utilisateurs d’installer des logiciels non validés par Apple) dix jours après son lancement, l’iPhone 3G S vient de vivre sa première faille de sécurité critique : exécution de code et espionnage sont possibles… par SMS.
Comme d’habitude, si l’on peut dire, c’est Charlie Miller qui a profité d’une conférence sur la sécurité informatique pour s’en prendre à sa cible favorite : Apple. Rappelons qu’il a remporté les machines Apple mises en jeu lors des deux dernières éditions du Pwn2Own.
Cette fois, il s’est donc attaqué au dernier produit de la marque, l’iPhone 3G S. Sans révéler les détails de l’attaque (il a négocié ceux-ci avec Apple, ayant estimé en début d’année que son travail avait une valeur marchande), il affirme qu’un SMS correctement conçu permet de contrôler partiellement un iPhone 3G S. Il serait possible d’une part d’espionner son utilisateur en récupérant les données de la puce GPS et en écoutant le micro, d’autre part d’exécuter du code pour faire participer l’appareil à un botnet.
Apple devrait proposer une nouvelle version d’iPhone OS avant la divulgation complète de la faille. Par ailleurs, Miller a affirmé que le système des iPhone est, malgré cette annonce, plus sûr que celui des Mac, du simple fait de… l’absence de Flash et Java — il est vrai que Flash, notamment, a par le passé posé plusieurs problèmes de sécurité, d’autant plus gênants qu’ils fonctionnaient sur les différentes plates-formes supportées.
