Un groupe de chercheurs en sécurité indique cette semaine avoir mis à jour une importante faille de sécurité dans l'iPhone d'Apple. Présentée dans un article du New York Times, cette vulnérabilité permettrait à un attaquant de s'emparer des données personnelles de l'utilisateur, telles que sa liste de contacts, ses messages écrits ou ses identifiants de messagerie. Charles A. Miller, l'un des chercheurs à l'origine de cette découverte, indique qu'il présentera cette faille en détail le 2 août prochain à l'occasion de la prochaine conférence Black Hat. En attendant, il livre une version tronquée de la présentation (PDF, anglais, 7 pages) de cette vulnérabilité, de façon à laisser à Apple le temps de valider un correctif ou de prendre toute mesure jugée nécessaire.
Aujourd'hui, cette faille n'est exploitée que par un proof of concept, une application qui vise à démontrer l'existence d'une vulnérabilité mais ne commet aucun acte de malveillance. Prévenu des travaux de ces chercheurs, mandatés par la société Independent Security Evaluators, Apple n'a pour le moment pas souhaité commenter cette découverte, et se contente de déclarer que ses ingénieurs se sont penchés sur la question.
Concrètement, il suffirait d'amener, au moyen d'un email ou d'un SMS, l'internaute sur une page infectée par un code malicieux pour que celui-ci s'exécute sur le téléphone. Là, il pourrait par exemple sélectionner les informations personnelles demandées par l'attaquant puis les lui faire remonter. En théorie, il pourrait également bloquer le téléphone ou déclencher des appels.
Faut-il pour autant conclure que l'iPhone sera bientôt la proie des pirates ? Alors que le téléphone mobile ne cesse de se rapprocher de l'ordinateur, la découverte de failles de sécurité sur l'appareil vedette d'Apple ne surprend guère les experts en sécurité. "Tout appareil aussi complexe qu'un ordinateur - ce qu'est ce téléphone - présentera toujours des vulnérabilités", explique Aviel D. Rubin, fondateur d'Independent Security Evaluators. Cette faille de type buffer overflow aurait d'ailleurs été d'abord été détectée sur la version "fixe" de Safari, le navigateur de l'iPhone également utilisé sur les ordinateurs Mac et, depuis peu, en version bêta pour systèmes Windows.
Aujourd'hui, cette faille n'est exploitée que par un proof of concept, une application qui vise à démontrer l'existence d'une vulnérabilité mais ne commet aucun acte de malveillance. Prévenu des travaux de ces chercheurs, mandatés par la société Independent Security Evaluators, Apple n'a pour le moment pas souhaité commenter cette découverte, et se contente de déclarer que ses ingénieurs se sont penchés sur la question.
Concrètement, il suffirait d'amener, au moyen d'un email ou d'un SMS, l'internaute sur une page infectée par un code malicieux pour que celui-ci s'exécute sur le téléphone. Là, il pourrait par exemple sélectionner les informations personnelles demandées par l'attaquant puis les lui faire remonter. En théorie, il pourrait également bloquer le téléphone ou déclencher des appels.
Faut-il pour autant conclure que l'iPhone sera bientôt la proie des pirates ? Alors que le téléphone mobile ne cesse de se rapprocher de l'ordinateur, la découverte de failles de sécurité sur l'appareil vedette d'Apple ne surprend guère les experts en sécurité. "Tout appareil aussi complexe qu'un ordinateur - ce qu'est ce téléphone - présentera toujours des vulnérabilités", explique Aviel D. Rubin, fondateur d'Independent Security Evaluators. Cette faille de type buffer overflow aurait d'ailleurs été d'abord été détectée sur la version "fixe" de Safari, le navigateur de l'iPhone également utilisé sur les ordinateurs Mac et, depuis peu, en version bêta pour systèmes Windows.
-
Auteur