Une faille découverte dans l’iPhone favoriserait le contrôle à distance
La vulnérabilité révélée par une équipe de chercheurs américains permettrait
à un pirate de prendre le contrôle du terminal multimédia d’Apple.
Une équipe américaine de chercheurs en sécurité a détecté une faille dans le célèbre iPhone d’Apple qui permettrait à un pirate de prendre entièrement le contrôle du téléphone par Wi-Fi.
L’équipe Independent Security Evaluators, dirigée par un ancien professeur de l’université Johns Hopkins, a découvert cette vulnérabilité la semaine dernière, mis au point un correctif et informé Apple du problème.
« La conception et la mise en oeuvre de la sécurité sur l’iPhone posent de sérieux problèmes », a déclaré la société dans un article consacré à cette faille. « Ce qui saute aux yeux, c’est que tous les processus intéressants sont exécutés avec des privilèges d’administration. En d’autres termes, lorsqu’une application est compromise, n’importe quel pirate peut accéder entièrement à l’appareil. »
L’exploit [c’est à dire les instructions qui permettent d’exploiter la faille, ndlr] utilise une page Web intégrant des programmes malveillants qui peuvent accéder au téléphone via le navigateur Safari. Il peut être utilisé de plusieurs manières. Par exemple, forcer le téléphone à propager des informations personnelles stockées dans ses fichiers ou pour prendre le contrôle de l’appareil et l’utiliser pour effectuer des appels sortants à l’insu du détenteur légitime du terminal.
« Malheureusement, dès lors qu’une application de l’iPhone est corrompue par un pirate, rien ne peut réellement l’empêcher de prendre entièrement le contrôle du système », ajoute l’équipe de chercheurs. « Aucun système d’adresse aléatoire n’a été utilisé dans le système d’exploitation. Cela signifie qu’à chaque exécution de processus, la pile, le tas et le code exécutable sont situés précisément au même endroit de la mémoire. Cela permet aux pirates d’écrire du code exploit fiable. »
Les experts avaient déjà indiqué que le téléphone d’Apple pouvait présenter les mêmes menaces de sécurité qu’un PC du fait de son système d’exploitation performant. Des problèmes ont d’ailleurs déjà été signalés au niveau du logiciel de numérotation.
Matt Bancroft, VP de la société de gestion des appareils mobiles Mformation, a déclaré à ce sujet : « Tous les téléphones portables deviennent de plus en plus puissants. L’iPhone n’est ni plus ni moins qu’un mini-ordinateur sophistiqué ». Un avis qui rejoint celui exprimé récemment par le président de PGP.
« Avec des appareils mobiles de plus en plus puissants, le développement des problèmes et des menaces de sécurité sur les appareils mobiles devient inévitable », poursuit Matt Bancroft. « La solution consisterait à gérer l’appareil une fois qu’il se trouve entre les mains de l’utilisateur. Nous devons aujourd’hui être capables de mettre à jour la sécurité ou de corriger les applications par des techniques OTA (over the air) dans un environnement en perpétuel changement. »
Traduction d’un article de Vnunet.com en date du 23 juillet 2007