Une faille dans iOS permet de prendre le contrôle des appareils d'Apple
IPhone, iPad et iPod sont touchés, Apple s'inquiète

Le , par Idelways, Expert éminent sénior
Mise à jour du 12/08/10

Apple n'a pas tardé à réagir face à la gravité (et la simplicité) des exploits rendus possibles par la faille découverte la semaine dernière.

Pour mémoire, cette faille concerne la manière dont Safari Mobile gère les PDF. Un code malicieux utilisant cette vulnérabilité pourrait s'affranchir de la sandbox protectrice d'iOS et obtenir les droits root (lire ci-avant).

Un site, Jailbreakme.com, avait même utilisé la méthode pour proposer le déverrouillage en ligne des terminaux mobiles. Un exploit légal et surtout non-malicieux, mais qui aurait pu donner des idées à des hackers moins bien intentionnés (des pirates donc).

Pour éviter cette situation désagréable, Apple vient de sortir un patch qui sécurise la manière dont le navigateur mobile d'Apple gère les PDF.

Ce correctif est disponible via iTunes. Il est également livré avec les versions 4.0.2 de iOS (pour l'iPhone et l'iPod Touch) et la 3.2.2 pour l'iPad.

Il est - bien évidemment - très fortement recommandé de faire ces mises à jour et de l'appliquer le plus rapidement possible.

Si vous voulez garder le contrôle de votre appareil bien sûr.

Et vous ?

Pensez-vous que la réaction d'Apple et sa rapidité ont été exemplaire dans cette affaire ? Ou au contraire qu'Apple peu tmieux faire ?

MAJ de Gordon Fowler

Une faille dans iOS permet de prendre le contrôle des appareils d'Apple
iPhone, iPad et iPod sont touchés, Apple s'inquiète

Contrairement aux « Jailbreaks » précédents, qui nécessitaient que l'iPhone soit connecté à un ordinateur, la dernière méthode de déverrouillage de iOS 4 peut se faire via un site Web (jailbreakme.com) avec comme seul outil le navigateur Safari.

Or, si un Jailbreak peut être effectué avec Safari, on imagine facilement les potentialités de prise de contrôle à distance de l'iPhone (ou de l'iPod touch ou de l'iPad).

Cette méthode de déverrouillage s'appuie en fait sur une faille, liée au lecteur PDF. Une faille de chargement des polices de caractère du lecteur plus précisément. Un code malicieux qui exploite cette vulnérbilité pourrait même s'affranchir de la sandbox protectrice d'iOS 4 et obtenir les droits root.

Résultat : un accès sans restriction à tout l'appareil sur toutes les versions de l'iOS, exceptée, peut-être la 4.1 bêta actuellement en cours de tests.

Si Jailbreakme.com est pour le moment le seul exploit de cette faille, un exploit légal et surtout non-malicieux, d'autres hackers mal intentionnés eux, pourraient analyser et décompiler le code de cette méthode pour l'utiliser dans des applications nettement moins recommandables.

Apple a reconnu le problème et semble être préoccupé par cette vulnérabilité.

Aucune date n'est en revanche annoncée pour colmater cette faille importante.

En attendant, le site Mac Stories propose une méthode pour prévenir le chargement automatique des PDF sur iOS (Anglais).

Source : Dépêche de Reuters


Lire aussi :

Les cybercriminels exploitent le déverrouillage de l'iPhone pour propager leurs malwares en utilisant des techniques d'ingénierie sociale

La justice américaine rend légal le jailbreak de l'iPhone, victoire ou aberration ?

Les ventes d'Android auraient dépassé celles de l'iPhone aux Etats-Unis : retournement du marché ou simple attente de l'iPhone 4 ?

Les rubriques (actu, forums, tutos) de Développez :

Mac
Sécurité
Mobile
Systèmes

Et vous ?

En tant qu'utilisateurs de l'iPhone/iPad/iPod Touch, la présence de cette faille changera-t-elle vos habitudes d'utilisation et de navigation ?

Les produits Apple sont-ils si sécurisés ?

En collaboration avec Gordon Fowler


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Federico_muy_bien Federico_muy_bien - Membre habitué http://www.developpez.com
le 12/08/2010 à 14:07
Citation Envoyé par JohnPetrucci  Voir le message
Aucune forteresse n'est imprenable, cela ne m'étonnerait pas que d'ici quelques semaines, ils nous annoncent qu'un jailbreak est possible. De plus le baseband n'a pas changé, ce qui signifie que les outils de désimlock (ultrasn0w) fonctionnent toujours.


Oui bien sur ! Je pensais au jailbreak du site jailbreakme. Lui ne sera plus utilisable.
Sinon, le débat est en train de se perdre là ...
Avatar de Caly4D Caly4D - En attente de confirmation mail http://www.developpez.com
le 12/08/2010 à 14:58
Citation Envoyé par GanYoshi  Voir le message
Aaah parce qu'utiliser un M et un $ pour dire Microsoft c'est de "l'anti-microsoft primaire".

Comme je disais c'est du psychotage.

pas mieux !

Ce que je vois là dedans c'est que Linux, Unix n'est pas si blindé que ça.

De toute façon entre M$ , Mc ou pingus les failles c'est tout un art
pour le dernier facile de s'en rendre compte :http://lmgtfy.com/?q=linux+faille
Avatar de FailMan FailMan - Membre expert http://www.developpez.com
le 12/08/2010 à 15:12
Citation Envoyé par Caly4D  Voir le message
De toute façon entre M$ , Mc ou pingus les failles c'est tout un art
pour le dernier facile de s'en rendre compte :http://lmgtfy.com/?q=linux+faille

N'empêche, pas mal le quatrième résultat de ta recherche :

Faille critique dans les noyaux Linux 2.4, 2.6 : La semaine s'est ouverte sur la présence d'un bug dans la version RTM de Windows 7...



Citation Envoyé par cortex024  Voir le message
ma marque adorée? hum hum tu verrais sur quel OS je suis

OpenSolaris ?
Avatar de kain_tn kain_tn - Membre chevronné http://www.developpez.com
le 12/08/2010 à 16:52
Citation Envoyé par JohnPetrucci  Voir le message
N'empêche, pas mal le quatrième résultat de ta recherche :


Toi qui faisais une remarque il y a quelques temps sur les forums parce que quelqu'un ne t'avait pas cité complètement, si tu avais pris la peine de lire jusqu'au bout:

La semaine s'est ouverte sur la présence d'un bug dans la version RTM de Windows 7 et les soucis rencontrés dans Mac OS X 10.5.8. Il n'est que justice de la refermer sur un bug touchant Linux !

Avatar de FailMan FailMan - Membre expert http://www.developpez.com
le 12/08/2010 à 16:54
Citation Envoyé par kain_tn  Voir le message
Toi qui faisais une remarque il y a quelques temps sur les forums parce que quelqu'un ne t'avait pas cité complètement, si tu avais pris la peine de lire jusqu'au bout:

Pour ma défense : je n'ai cité que le contenu offert par Google (et c'était juste en clin d'oeil rapide, pas destiné à troller d'ailleurs je n'ai même pas lu l'article, il me semble qu'il était plutôt vieux -quelque chose comme 1 an ou 2-)
Avatar de kain_tn kain_tn - Membre chevronné http://www.developpez.com
le 12/08/2010 à 16:57
Citation Envoyé par JohnPetrucci  Voir le message
Pour ma défense : je n'ai cité que le contenu offert par Google (et c'était juste en clin d'oeil rapide, pas destiné à troller d'ailleurs je n'ai même pas lu l'article, il me semble qu'il était plutôt vieux -quelque chose comme 1 an ou 2-)

Oui, août 2009
Avatar de redchou redchou - Nouveau Candidat au Club http://www.developpez.com
le 12/08/2010 à 18:32
Bon, désolé j'avais préparé une super réponse mais trop long en édition, tout perdu..

Du coup on passe en mode ironique lol
(ironie on)
Pour faire court, si SONY, Apple ont du mal à sécuriser leur produit qui repose sur une architecture ARM c'est simplement parce qu'une telle architecture demande beaucoup d'optimisation au niveau du code exécutable, et qu'il en découle une impossibilité de verrouillage.
(pasque moins de puissance de calcul, donc code plus simple)
Pour preuve, il est beaucoup plus simple de décompiler du code ARM que x86/x64.
Ceci explique peut-être que SONY arrive à protéger sa PS3 mais pas sa PSP..
Tout comme Apple Mac OS X et pas ses iDevice..

Le coté stupide dans la correction du bug des fichiers PDF's c'est juste que le FIX était déjà prêt depuis la beta 1 de l'iOS 4.1, parut avant jailbreakme.com.
Le site n'a fait qu'accélérer la parution du patch.
Apple ne voulait pas lancer un FIX sans le tester.. "les boulets" !
Pis ensuite, peut-être que du code ARM n'est pas du copier/coller de code x86/x64..

Je dis ça, je dis rien.. Je m'y connais pas trop

Ensuite pour le M$, ils se sont pris quand même pas mal de condamnation pour pratique anti-concurrentielle, tout ça tout ça..
Toutes les boites sont là pour faire du blé, mais pas à n'importe quel prix..
M$, si.
On a que ce qu'on mérite... Comme un $ dans son nom =)

Apple c'est cher, bah t'achète pas..
Il te force pas à succomber à leur pub, ni a leur design.. Si tu n'es pas libre de tes choix, t'es juste une victime, et c'est triste pour toi..

Je suis pas pro-nani ou nana.. Je m'en fou complètement, tu fais ce que tu veux avec tes cheveux..
Et moi avec les miens..
Mais je trouve aberrant de ne pas respecter le travail de personne qui se cassent le cul à créer des standards, dans l'unique but de faire avancer le Schmilblick pendant que d'autre s'amuse à copier ses même standards avec des technos propriétaire pour obliger les gens à utiliser leur maaarde et logiciel propriétaire grâce à leur monopole sur le marché acquis à la sueur de leur bifton.
Exemple: javascript, Jscript ou le truc inutile..
HTML/CSS/Javascript, internet explorer..
openGL, DirectX..
...

M$ n'est pas un moteur d'innovation, ce sont des mauvais, désolé y'a pas d'autre mot..
Regardez ie, la merde qu'il a foutu dans l'évolution des standard du web, les années de retard que l'on a pris ! Merci qui ?
C'est quand même bizarre que l'internet mobile explose à l'heure ou tout le monde utilise le moteur web-kit d'Apple pour faire les navigateurs dans leur portable..
Pourtant Windows Mobile faisait bien mieux et bien avant ! C'est chelou oO? no ?
Attendez, on me dit que Windows Phone 7 est incompatible HTML5.. Youpiiie
Ca recommence..

Mac OS X n'a rien a voir avec Windows X, juste en tant que développeur, sous Mac le SDK est fourni de base, sous windows ? ca dépend tu veux quoi comme technologie? parce que nous chez M$ on vend tout séparément

Ensuite, il est basé sur des STANDARDs, Apple fabrique du Hardware et choisit les technologies qui lui semble les plus viables et qui sont généralement le résultat de travail de groupe d'expert dans leur domaine..
Après ils ne sont pas non plus divin, tout le monde fait des erreurs..
Comparé les réactions de fan-boy imaginaire, v'la le niveau, c'est drôle les fan-boy's diraient c'est du pipi, pourtant on dirai du caca..O..M..G..
Enfin.. On refera pas le monde en un post..

Je ne prétends pas être plus fort que tout le monde, bien au contraire je suis passé sous Mac OS X pour des raisons de simplicité..
J'ai jamais réussi à faire des trucs potables sous Win..
Et que comme je n'avais pas assez de sous pour me payer une école M$ a 6 000 € l'année.. J'ai appris en étudiant les standards.. Et maintenant j'ai la flemme de réapprendre les standard version M$.

HS: hack xbox 1? une faille dans les polices du système? ça arrive donc même au meilleur de négliger le chargement de celle-ci 0_o

HS2: genre ton HTC il vaut 500$ en hardware ^_^
Et la Wii, elle est vendu a perte no ?

HS3: Et arrêtez de penser que VOUS avez la vérité absolue, certains préfèrent mac, d'autre, windows, d'autre linux..
C'est pas pour autant qu'ils n'ont rien compris à la vie.. Je doute que la majorité des personnes sur ce post sache programmer un kernel en C pour le fun par exemple.. Alors jugez le travail de mec qui est juste hors de votre entendement.. C'est risible..
Si! C'est le cas! Vous êtes l'élu du XXIe siècle, lancez votre système d'exploitation, vous savez celui qui peut tout faire, sur tout et n'importe quoi.. C'est les vacances vous devez bien avoir quelques jours de repos.. Ce ne sera que l'affaire de quelques heures..
Après, il se peut qu'un système soit adapté à telle utilisation ou telle autre..
On ne trouve pas forcément tout sur chaque système..
90% des gens sur terre n'ont pas besoin que leur données personnelles soient ultra-sécurisées.. Vous mettez déjà toutes vos infos entre les mains de Facebook, Google et consort.. alors franchement..
Les mecs ont tous des iPhones jailbreakés, vous pensez vraiment qu'il n'y a pas comme sous windows des mecs qui en profite pour faire tourner de la merde sur vos périphériques ?
(ironie off)
Avatar de cortex024 cortex024 - Membre extrêmement actif http://www.developpez.com
le 12/08/2010 à 20:08
Citation Envoyé par redchou  Voir le message
Toutes les boites sont là pour faire du blé, mais pas à n'importe quel prix..
M$, si.
On a que ce qu'on mérite... Comme un $ dans son nom =)

Apple c'est cher, bah t'achète pas..
Il te force pas à succomber à leur pub, ni a leur design.. Si tu n'es pas libre de tes choix, t'es juste une victime, et c'est triste pour toi..

décidément tu dis plus loin que tu n'es pas pro ceci ou anti cela, mais on voit clairement ta vue bien braquée

et puis:

Citation Envoyé par JohnPetrucci  Voir le message
Dans le genre, tu as aussi Cro$oft ou encore Windaube. C'est bien bien naze et ça veut tout dire sur la personne qui l'emploie.

je confirme, ca veut tout dire
Avatar de redchou redchou - Nouveau Candidat au Club http://www.developpez.com
le 13/08/2010 à 1:00
Je ne vois pas en quoi le fait de dire que microsoft a utilisé des moyens illégaux pour vendre son système d'exploitation exprime mon point de vue..
- Tu sais, je ne travaille pas à la commission européenne..

Apple, c'est cher, c'est le reproche que j'entends souvent...
Mais si tu n'acceptes pas le prix de leur produit, rien ne t'oblige à les acheter..
- Surtout pas moi..

Tu sais, ce n'est pas parce que j'ai un mac que je n'utilise pas Windows..
- Oui, les machines complètement fermées d'Apple sont compatibles windows et linux..

Je voulais un grand écran pour travailler, j'ai vu ça :
http://accessories.euro.dell.com/sna...hs1&sku=381158
- Je me suis pris un iMac 27" pour 300 € de plus..
300 € la config + les accessoires.. Je ne crache pas dessus.. Dsl je suis un vendu.. Après libre à toi de te prendre un écran chez Dell et une tour à coté..

Tu dis :
On le sait bien que leur but est de faire du benef, comme tout entreprise dans le monde hormis les asbl et autres exceptions au cas où tu le saurais pas encore
- Mais tu sembles oublier qu'il n'hésite pas à franchir le seuil de la légalité pour le faire..

Urban Dictionary: micro$oft
A derogotitory term for microsoft's EVIL practice of EARNING MONEY!

Tu sais, les gens, on des libertés, dont la liberté d'expression, alors qu'il parle de micro$soft, windaube, cro$oft.. Le but du language est de se faire comprendre.. Tu voudrais leur interdire ?

Apple
A manufacturer of computers, peripherials, and software with around a 3% share of the pc market.
Most well-known products include:
imac, ipod, itunes, OS X, final cut pro, ibook.

While their operating system's market share may be significantly below that of Microsoft's windows, many still prefer to use Apple's computers and software, especially for graphical design and audio work.

Many people like to debate over the superiority of macs over pcs and visa versa, such people have no lives.
1. "Quite frankly, I don't give a shit weather you prefer Apple computers or Windows PCs."

2. "The Apple vs. PC debate is mindless and insubstantial, try both and use whichever you prefer."

Mac OS X n'a rien a voir avec Windows X

Je resterai ferme sur ce point, mais bon apparemment tu ne sais pas lire les posts en entier.
Avatar de cortex024 cortex024 - Membre extrêmement actif http://www.developpez.com
le 13/08/2010 à 8:20
Citation Envoyé par redchou  Voir le message
Je suis pas pro-nani ou nana.. Je m'en fou complètement, tu fais ce que tu veux avec tes cheveux..
Et moi avec les miens..
[...]
M$ n'est pas un moteur d'innovation, ce sont des mauvais, désolé y'a pas d'autre mot..

y a comme qui dirait des parties qui ne vont pas avec le reste.
steevy sort de ce corp

Citation Envoyé par redchou  Voir le message
Ensuite pour le M$, ils se sont pris quand même pas mal de condamnation pour pratique anti-concurrentielle, tout ça tout ça..
Toutes les boites sont là pour faire du blé, mais pas à n'importe quel prix..
M$, si.
On a que ce qu'on mérite... Comme un $ dans son nom =)

se faire du blé à n'importe quel prix, c'est faire croire aux utilisateurs que le problème matériel révélé dans la presse c'est le fruit de l'imagination de la concurrence?
alors j'en connais une de société qui agit comme cela

Citation Envoyé par redchou  Voir le message
Mac OS X n'a rien a voir avec Windows X, juste en tant que développeur, sous Mac le SDK est fourni de base, sous windows ? ca dépend tu veux quoi comme technologie? parce que nous chez M$ on vend tout séparément

si y en a bien un qui a des connectiques et ce genre de trucs propriétaire et qui oblige donc à racheter pleins d'accessoires par la suite pour pouvoir se servir à fond de son outil

Citation Envoyé par redchou  Voir le message
Mais je trouve aberrant de ne pas respecter le travail de personne qui se cassent le cul à créer des standards, dans l'unique but de faire avancer le Schmilblick pendant que d'autre s'amuse à copier ses même standards avec des technos propriétaire pour obliger les gens à utiliser leur maaarde et logiciel propriétaire
[...]
Ensuite, il est basé sur des STANDARDs, Apple fabrique du Hardware et choisit les technologies qui lui semble les plus viables et qui sont généralement le résultat de travail de groupe d'expert dans leur domaine..

les standards, si y en a bien un qui fait des trucs rien que pour lui et en manque de compatibilité avec le reste
je parle d'un qui fait pire que les méchants "crosoft"

Citation Envoyé par redchou  Voir le message
HS3: Et arrêtez de penser que VOUS avez la vérité absolue, certains préfèrent mac, d'autre, windows, d'autre linux..
C'est pas pour autant qu'ils n'ont rien compris à la vie..

ca c'est censé au moins c'est le pourquoi de mes posts parmi les fanboys et/ou les anti-MS (m$ comme les boulets aiment écrire)
Avatar de FailMan FailMan - Membre expert http://www.developpez.com
le 13/08/2010 à 9:09
Citation Envoyé par redchou  Voir le message
Le coté stupide dans la correction du bug des fichiers PDF's c'est juste que le FIX était déjà prêt depuis la beta 1 de l'iOS 4.1, parut avant jailbreakme.com.
Le site n'a fait qu'accélérer la parution du patch.
Apple ne voulait pas lancer un FIX sans le tester.. "les boulets" !

Ah, c'est vrai que maintenant eux se soucient de l'expérience utilisateur... Pourquoi ne pas avoir testé Twitter pour iPhone lors de sa mise en ligne sur l'AppStore, application buguée, restée en ligne pendant 1 semaine, paralysant tous ceux qui avaient mis à jour ? Tu ne sais pas de quoi tu parles.

Citation Envoyé par redchou  Voir le message
Toutes les boites sont là pour faire du blé, mais pas à n'importe quel prix..
M$, si.
On a que ce qu'on mérite... Comme un $ dans son nom =)

Qui fait payer les mises à jour du firmware interne de son téléphone et de certains de ses baladeurs ? (c'est pas Microsoft qui fait payer 10$ la gestion du copier/coller) Et puis sans MS, Apple n'existerait plus depuis une quinzaine d'années, c'est quand même eux qui ont renfloué les caisses, hein...

Citation Envoyé par redchou  Voir le message
Mais je trouve aberrant de ne pas respecter le travail de personne qui se cassent le cul à créer des standards, dans l'unique but de faire avancer le Schmilblick pendant que d'autre s'amuse à copier ses même standards avec des technos propriétaire pour obliger les gens à utiliser leur maaarde et logiciel propriétaire grâce à leur monopole sur le marché acquis à la sueur de leur bifton.
Exemple: javascript, Jscript ou le truc inutile..
HTML/CSS/Javascript, internet explorer..
openGL, DirectX..
...

C'est vrai qu'Apple c'est l'icône du libre et c'est surtout pas propriétaire, non non.
De plus, JavaScript est différent de JScript. Tu parles de choses que tu ne connais pas. Et c'est quoi le rapport entre HTML/CSS et IE ?
Belle preuve de ton ignorance : OpenGL et DirectX ne sont pas réellement comparables. OpenGL est concurrent de Direct3D. DirectX n'est qu'un ensemble de technologies comprenant Direct3D, nuance.

Citation Envoyé par redchou  Voir le message
Mac OS X n'a rien a voir avec Windows X, juste en tant que développeur, sous Mac le SDK est fourni de base, sous windows ? ca dépend tu veux quoi comme technologie? parce que nous chez M$ on vend tout séparément

C'est pour ça que de nombreux SDK d'applications Microsoft sont en téléchargement gratuits sur internet.

C'est pour ça que Visual Studio est disponible en version Express, c'est à dire gratuite, de manière à ce que tout-un-chacun puisse développer en .NET sans avoir à vider son compte en banque ? Encore une fois, tu ne sais pas de quoi tu parles.

Citation Envoyé par redchou  Voir le message
Je ne prétends pas être plus fort que tout le monde, bien au contraire je suis passé sous Mac OS X pour des raisons de simplicité..
J'ai jamais réussi à faire des trucs potables sous Win..

Heureusement quand même, c'est pas la faute de l'OS si t'es un mauvais développeur, pas capable de lire 3 petits tutos qui se battent en duel...

- Téléchargement de VB.NET Express : 20 minutes
- Lecture de quelques tutoriels sur DVP et mise en pratique rapide : une ou deux après-midi
- Réalisation d'une calculatrice toute simple : 2 heures

Tout ça pour pas un rond !

Citation Envoyé par redchou  Voir le message
- Je me suis pris un iMac 27" pour 300 € de plus..
300 € la config + les accessoires.. Je ne crache pas dessus.. Dsl je suis un vendu.. Après libre à toi de te prendre un écran chez Dell et une tour à côté..

En plus d'avoir l'air naze en développement, tu as l'air naze en recherche sur internet. J'ai trouvé des écrans 27 pouces pour environ 300€ (bizarre, tu en avais trouvé qu'un à 1150€ !). (Ici, article daté de moins d'un mois, suffit de sélectionner les écrans entre 27 et 27 pouces) Et puis si tu me trouves une configuration à 300€ avec écran 27 pouces et accessoires compris... File-moi ton tuyau

Citation Envoyé par redchou  Voir le message
Tu sais, ce n'est pas parce que j'ai un mac que je n'utilise pas Windows..
- Oui, les machines complètement fermées d'Apple sont compatibles windows et linux..

Normal, depuis qu'ils ont avoué la faiblesse de leur PowerPC en passant sur du Intel (et de leur OS, quel intérêt d'en avoir deux si tu peux tout faire sur Mac OSX et qu'il est le meilleur OS du monde ? pourquoi s'encombrer de daubes moches et mal sécurisées ?). Ils ont fini par rentrer dans le rang, comme tout le monde
Offres d'emploi IT
DESSINATEUR INDUSTRIEL (H/F)
AGENCE SUPPLAY - Centre - Châteauroux (05380)
Lead developpeur web php
New Contents & Co - Ile de France - Asnières-sur-Seine (92600)
Stage développement .NET
Yoopala - Provence Alpes Côte d'Azur - Mougins (06250)/Sophia Antipolis

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil