Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une énorme faille de sécurité sur l'iPhone
Vient d'être découverte, elle permet d'accéder à pratiquement toutes les données de l'appareil

Le , par Gordon Fowler

0PARTAGES

1  0 
Jusqu'ici la communication d'Apple mettait en avant que certes, il existe des problèmes de sécurité sur l'iPhone, son téléphone star, mais que ceux-ci découlait d'une opération parfaitement illégale, le "jailbreaking", et que par conséquent ni la société ni l'appareil en lui-même ne pouvaient en être tenus pour responsables.

L'argument était on ne plus justifié , mais il va falloir en trouver un autre.

Tous les iPhones, y compris ceux dont les protections anti-pirates n'ont pas été enlevées, sont victimes d'une faille de sécurité très importante. C'est en tout cas ce que rapporte Nicolat Seriot, un chercheur en sécurité lors d'une conférence à Genève sur la sécurité de l'iPhone.

Nicolas Seriot affirme que des malwares pourraient exploiter une faille pour accéder aux comptes mails des utilisateurs, aux historiques de recherches dans Safari et Youtube, au cache du clavier (et donc à ce qui a été tapé) et aux journaux de logs des connexions Wifi. Bref, à - à peu près - toute la vie privée du propriétaire du smartphone.

Pour lui, cette vulnérabilité est clairement le fruit d'une erreur majeure de conception. Certaines (sous)parties de l'OS de l'iPhone ne seraient tout simplement pas sécurisées. L'accès aux informations de l'iPhone et à ses fichiers peut découler d'un simple appel de variables. Même pas besoin d'une API privée semble s'étonner le chercheur.

Compte tenu de l'environnement de l'iPhone, Nicolas Seriot prévoit que les trojans se propageront via l'Apple App Store - ce qui n'est pas très dur à prévoir - mais surtout qu'il sera extrêmement difficile de les repérer : "les Spywares peuvent être très intelligents, la nature dynamique de l'Objective-C n'aide pas non plus".

C'est donc bien vers l'iPhone qu'il faudrait porter les efforts. Seriot donne d'ailleurs quelques pistes dont la plus urgente serait d'implémenter une nouvelle procédure pour les droits d'accès. Cette procédure introduirait différents niveaux de privilège pour accéder aux différentes données stockées dans le téléphone. Par défaut, leur accès devrait également être refusé souligne le chercheur.

De son coté Apple s'est refusé à tout commentaire.

Petit détail, Nicolas Seriot est un Apple-Fan.

Source : La présentation de Nicolas Seriot

Lire aussi :

Les "bulles brillantes à coins ronds" sont déposées par Apple, l'AppStore cherche-t-il à se mettre les développeurs à dos ?

L'iPhone est une "reine de beauté sans cerveau" affirme Motorola, en le comparant à son tout nouveau Droid

99 % des utilisateurs d'iPhones se disent satisfaits de leur appareil, Apple enregistre un taux de satisfaction record

Quel système d'exploitation mobile est le meilleur pour développer des applications ? L'iPhone, BlackBerry ou Android ?

Les rubriques (news, tutos, forums) de Developpez.com :

Mac
Securite
Mobile
Système

Et vous ? :

Pensez-vous qu'Apple est en train de perdre son image de constructeur de terminaux ulta-sûrs ?
Ou au contraire, pensez-vous comme Nicolat Seriot, qu'Apple a mauvaise presse parce que son succès rend jaloux ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Federico_muy_bien
Membre habitué https://www.developpez.com
Le 08/12/2009 à 10:20
Eh bein c'est pas reluisant ! et c'est bien ce que je constate. J'ai un Iphone et au plus je l'utilise au plus je me dit que dedans il y a tout sur moi !!! ça a interet à etre bien sécurisé !!

Et petit point le jailbreak n'est pas forcément illégal !!! Si on étudie la loi DADVSI, celle-ci nous dit qu'il est interdit de contourner des verrouillages mis en place par les éditeurs (donc ici Apple) sauf pour assurer l'interopérabilité.

Apple indique que l'appareil iPhone ne fonctionne qu'avec iTunes sur les systèmes d'exploitation MacOs ou Windows.
On peut alors considérer le Jailbreak comme un moyen nécessaire pour assurer l'interopérabilité de l'iPhone avec Ubuntu par exemple.

Ps: pour le firmware 3.0 iphone interdit le jailbreak directement dans la licence d'utilisation à accepter pour l'installation du firmware

…Sauf que, en droit français, la loi est plus forte que le contrat. La clause interdisant le jailbreak est donc sans doute abusive, donc réputée non écrite.

(Source : Documentation officielle de Ubuntu)

C'est un peu comme la vente liée
1  0 
Avatar de Inazo
Membre confirmé https://www.developpez.com
Le 08/12/2009 à 10:28
Bonjour à tous,

Pas étonné du tout que se genre d'annonce sur les faiblesses de sécurité de l'iPhone commencent à se propager. Cependant quand on voie les possibilités d'attaques j'ai bien raison de pas encore avoir craqué pour un iPhone.

Je ne suis pas anti-iPhone, ni forcément très pro-Android, par contre se genre de chose pourrais peut-être aussi voir le jour sur Android.

Espérons juste qu'Apple soigne un peu plus son petit bijou.

Cordialement,

EDIT :

Juste une édition car ça ne vaut pas plus que ça : Définition d'argument
1  0 
Avatar de Traroth2
Membre chevronné https://www.developpez.com
Le 08/12/2009 à 10:29
En fait, ce n'est pas vraiment une faille de sécurité. Ce sont les utilisateurs qui ont laissé tomber l'appareil !

1  0 
Avatar de Traroth2
Membre chevronné https://www.developpez.com
Le 08/12/2009 à 10:33
Citation Envoyé par Inazo Voir le message
Bonjour à tous,

Pas étonné du tout que se genre d'annonce sur les faiblesses de sécurité de l'iPhone commencent à se propager. Cependant quand on voie les possibilités d'attaques j'ai bien raison de pas encore avoir craqué pour un iPhone.

Je ne suis pas anti-iPhone, ni forcément très pro-Android, par contre se genre de chose pourrais peut-être aussi voir le jour sur Android.

Espérons juste qu'Apple soigne un peu plus son petit bijou.

Cordialement,
Mais c'est quoi, comme argument, ça ? Ça pourrait aussi arriver sur Android ? Mais le fait est que c'est arrivé sur l'iPhone ! Les bugs possibles et les bugs vérifiés, ce n'est quand même pas équivalent, si ? Dans le même registre : si ma tante en avait, je l'appellerais mon oncle...
1  0 
Avatar de dams78
Membre chevronné https://www.developpez.com
Le 08/12/2009 à 10:36
J'ai pas d'iphone mais un android, et c'est vrai qu'il y a beaucoup de chose sur notre vie privé dans ce petit appareil...

Ce qui me fait halluciner encore une fois c'est l'attitude de apple : ne pas se prononcer. Or tous les experts en sécurité l'affirme, la sécurité par l'obscurité (essayer de cacher des choses) n'a jamais fonctionner!
1  0 
Avatar de Gui13
Membre habitué https://www.developpez.com
Le 08/12/2009 à 10:47
Je trouve son PDF très bidon.
Ok il montre que toutes les API fournies par Apple permettent d'accéder aux données de l'utilisateur.
Mais je ne vois pas ce qui change de ce qui se passe sur mon ordi: toutes mes applis ont accès à mon dossier de documents, à ce que je sache!

Le mec parle "d'une faille énorme", mais la faille c'est que l'utilisateur installe une application qu'il ne connait pas et qui a les moyens de se connecter sur internet et de lire ses mails. Moi j'appelle ça thunderbird, et je ne hurle pas parce qu'il a accès à mes données.

Il n'y a pas de "faille" au sens "l'utilisateur fait rien, il se retrouve infecté".

Coup de pub pour le mec...
1  0 
Avatar de keitaro_bzh
Membre éclairé https://www.developpez.com
Le 08/12/2009 à 10:54
A tout ceux qui critiquent MS pour ses failles de sécurités comprendront peut-être que finalement, c'est le "succès" (ou domination sur le marché) du produit qui fait qu'on y trouve de nombreuses failles de sécurité...

Ce genre de news ne m'étonne guère, et il en sera de même pour Android en temps et en heure...

Aucun système n'est infaillible (comme certains aimeraient nous le faire croire), alors espérons qu'Apple réagisse vite si cette faille s'avère aussi dangereuse que décrite.
1  0 
Avatar de jmini
Membre éprouvé https://www.developpez.com
Le 08/12/2009 à 11:02
Voila qui met encore plus de pression sur les validateurs de l'AppStore... En gros s'ils laissent passer des Malwares (du genre un programme anodin, mais qui cache ses accès), personne ne leur fera plus confiance.
1  0 
Avatar de dams78
Membre chevronné https://www.developpez.com
Le 08/12/2009 à 11:07
Citation Envoyé par keitaro_bzh Voir le message
Aucun système n'est infaillible (comme certains aimeraient nous le faire croire), alors espérons qu'Apple réagisse vite si cette faille s'avère aussi dangereuse que décrite.
Heu j'en mettrai pas ma main à couper mais et les systèmes BSD?

Sinon d'après mes cours de sécurité, il existe des systèmes totalement sécurisé, c'est leur implantation et leurs contraintes qui font qu'ils sont difficilement utilisable.
1  0 
Avatar de kuranes
Membre éclairé https://www.developpez.com
Le 08/12/2009 à 11:13
Citation Envoyé par Gui13 Voir le message
Je trouve son PDF très bidon.
Ok il montre que toutes les API fournies par Apple permettent d'accéder aux données de l'utilisateur.
Mais je ne vois pas ce qui change de ce qui se passe sur mon ordi: toutes mes applis ont accès à mon dossier de documents, à ce que je sache!

Le mec parle "d'une faille énorme", mais la faille c'est que l'utilisateur installe une application qu'il ne connait pas et qui a les moyens de se connecter sur internet et de lire ses mails. Moi j'appelle ça thunderbird, et je ne hurle pas parce qu'il a accès à mes données.

Il n'y a pas de "faille" au sens "l'utilisateur fait rien, il se retrouve infecté".

Coup de pub pour le mec...
Je pense qu'il faudrait que tu vérifie ta version de thunderbird...
Nicolas Seriot affirme que des malwares pourraient exploiter une faille pour accéder aux comptes mails des utilisateurs, aux historiques de recherches dans Safari et Youtube, au cache du clavier (et donc à ce qui a été tapé) et aux journaux de logs des connexions Wifi. Bref, à - à peu près - toute la vie privée du propriétaire du smartphone.
Si effectivement ton thunderbird accède au cache du clavier (par exemple), il y a comme un petit soucis
1  0