Une énorme faille de sécurité sur l'iPhone
Vient d'être découverte, elle permet d'accéder à pratiquement toutes les données de l'appareil

Le , par Gordon Fowler, Expert éminent sénior
Jusqu'ici la communication d'Apple mettait en avant que certes, il existe des problèmes de sécurité sur l'iPhone, son téléphone star, mais que ceux-ci découlait d'une opération parfaitement illégale, le "jailbreaking", et que par conséquent ni la société ni l'appareil en lui-même ne pouvaient en être tenus pour responsables.

L'argument était on ne plus justifié , mais il va falloir en trouver un autre.

Tous les iPhones, y compris ceux dont les protections anti-pirates n'ont pas été enlevées, sont victimes d'une faille de sécurité très importante. C'est en tout cas ce que rapporte Nicolat Seriot, un chercheur en sécurité lors d'une conférence à Genève sur la sécurité de l'iPhone.

Nicolas Seriot affirme que des malwares pourraient exploiter une faille pour accéder aux comptes mails des utilisateurs, aux historiques de recherches dans Safari et Youtube, au cache du clavier (et donc à ce qui a été tapé) et aux journaux de logs des connexions Wifi. Bref, à - à peu près - toute la vie privée du propriétaire du smartphone.

Pour lui, cette vulnérabilité est clairement le fruit d'une erreur majeure de conception. Certaines (sous)parties de l'OS de l'iPhone ne seraient tout simplement pas sécurisées. L'accès aux informations de l'iPhone et à ses fichiers peut découler d'un simple appel de variables. Même pas besoin d'une API privée semble s'étonner le chercheur.

Compte tenu de l'environnement de l'iPhone, Nicolas Seriot prévoit que les trojans se propageront via l'Apple App Store - ce qui n'est pas très dur à prévoir - mais surtout qu'il sera extrêmement difficile de les repérer : "les Spywares peuvent être très intelligents, la nature dynamique de l'Objective-C n'aide pas non plus".

C'est donc bien vers l'iPhone qu'il faudrait porter les efforts. Seriot donne d'ailleurs quelques pistes dont la plus urgente serait d'implémenter une nouvelle procédure pour les droits d'accès. Cette procédure introduirait différents niveaux de privilège pour accéder aux différentes données stockées dans le téléphone. Par défaut, leur accès devrait également être refusé souligne le chercheur.

De son coté Apple s'est refusé à tout commentaire.

Petit détail, Nicolas Seriot est un Apple-Fan.

Source : La présentation de Nicolas Seriot

Lire aussi :

Les "bulles brillantes à coins ronds" sont déposées par Apple, l'AppStore cherche-t-il à se mettre les développeurs à dos ?

L'iPhone est une "reine de beauté sans cerveau" affirme Motorola, en le comparant à son tout nouveau Droid

99 % des utilisateurs d'iPhones se disent satisfaits de leur appareil, Apple enregistre un taux de satisfaction record

Quel système d'exploitation mobile est le meilleur pour développer des applications ? L'iPhone, BlackBerry ou Android ?

Les rubriques (news, tutos, forums) de Developpez.com :

Mac
Securite
Mobile
Système

Et vous ? :

Pensez-vous qu'Apple est en train de perdre son image de constructeur de terminaux ulta-sûrs ?
Ou au contraire, pensez-vous comme Nicolat Seriot, qu'Apple a mauvaise presse parce que son succès rend jaloux ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de jmini jmini - Membre éprouvé https://www.developpez.com
le 08/12/2009 à 11:02
Voila qui met encore plus de pression sur les validateurs de l'AppStore... En gros s'ils laissent passer des Malwares (du genre un programme anodin, mais qui cache ses accès), personne ne leur fera plus confiance.
Avatar de dams78 dams78 - Membre chevronné https://www.developpez.com
le 08/12/2009 à 11:07
Citation Envoyé par keitaro_bzh  Voir le message
Aucun système n'est infaillible (comme certains aimeraient nous le faire croire), alors espérons qu'Apple réagisse vite si cette faille s'avère aussi dangereuse que décrite.

Heu j'en mettrai pas ma main à couper mais et les systèmes BSD?

Sinon d'après mes cours de sécurité, il existe des systèmes totalement sécurisé, c'est leur implantation et leurs contraintes qui font qu'ils sont difficilement utilisable.
Avatar de kuranes kuranes - Membre éclairé https://www.developpez.com
le 08/12/2009 à 11:13
Citation Envoyé par Gui13  Voir le message
Je trouve son PDF très bidon.
Ok il montre que toutes les API fournies par Apple permettent d'accéder aux données de l'utilisateur.
Mais je ne vois pas ce qui change de ce qui se passe sur mon ordi: toutes mes applis ont accès à mon dossier de documents, à ce que je sache!

Le mec parle "d'une faille énorme", mais la faille c'est que l'utilisateur installe une application qu'il ne connait pas et qui a les moyens de se connecter sur internet et de lire ses mails. Moi j'appelle ça thunderbird, et je ne hurle pas parce qu'il a accès à mes données.

Il n'y a pas de "faille" au sens "l'utilisateur fait rien, il se retrouve infecté".

Coup de pub pour le mec...

Je pense qu'il faudrait que tu vérifie ta version de thunderbird...
Nicolas Seriot affirme que des malwares pourraient exploiter une faille pour accéder aux comptes mails des utilisateurs, aux historiques de recherches dans Safari et Youtube, au cache du clavier (et donc à ce qui a été tapé) et aux journaux de logs des connexions Wifi. Bref, à - à peu près - toute la vie privée du propriétaire du smartphone.

Si effectivement ton thunderbird accède au cache du clavier (par exemple), il y a comme un petit soucis
Avatar de Averroes Averroes - Membre du Club https://www.developpez.com
le 08/12/2009 à 11:18
@Gui13, je pense ce qu'il veut dire c'est que n'importe quelle application installée a accés au données utilisateurs que ce soit une lampe torce (écran blanc) ou un PIM sans pour autant avertir l'utilisateur de cette accès. Peut-être que je me trompe.
L'approche Android il me semble c'est que l'application sur l'android market liste obligatoirement toute les permissions activés que ce soit l'accés au réseau que les données contacts. Même pour les applications qui ne sont pas forcément du market affiche les droits nécessaire que demande l'application.
Quand vous voyez une application lampe torche qui demande l'accés au réseau et au contact on l'installera pas.
De même quand une application vient d'un éditeur obscure et qui demande les infos contact et réseau on y réfléchit à deux fois.

Mais la question que je me poserais est est ce qu'Apple à les moyens de garantir la sureté des données lors de la validation d'une appli sur l'App store?
Bah ça serait utile qu'il valide aussi l'application au niveau sécurité plutot que juste se concentrer sur l'interface et les doublons d'appli apple.

Ne connaissant pas très bien le SDK de l'iphone, j'ai fait une grosse supposition sur la gestion des droits d'accès des applications.
Avatar de Gui13 Gui13 - Membre habitué https://www.developpez.com
le 08/12/2009 à 11:47
Le problème c'est que le téléphone est le nouvel ordinateur.
Personne ne prend le soin de vérifier que le programme qu'il télécharge sur Clubic est pas un truc vérolé jusqu'à la moelle, qu'il y a pas de keylogger ou autre bizarrerie dessus. On a des antivirus et des firewalls pour ça.
D'ailleurs les applis qui téléphonent à la maison il y en a des tas et des tas sur windows.

Le problème, c'est que les gens qui achètent ce smartphone s'imaginent qu'ils ont affaire à un simple téléphone, alors que c'est un ordinateur qu'ils ont dans la main, avec des API publiques qui permettent, comme sous OSX ou sous Windows, de toucher au filesystem, à aller piocher dans les contacts, etc..

Effectivement il y a tout un tas de possibilités pour sécuriser la chose*, mais ne parlez pas alors d' "énorme faille de sécurité découverte sur l'iPhone; c'est faire du sensationnalisme!

*très bonne idée de demander le débloquage de certaines API à l'utilisateur, mais rappelez-vous UAC, c'était exactement ça et ca a lourdé tous les utilisateurs de Vista
Avatar de Averroes Averroes - Membre du Club https://www.developpez.com
le 08/12/2009 à 11:54
Mais on a affaire à un système dit controlé de A-Z par une seule entité (Apple), on est loin de Windows, OS X ou Linux.

C'est la gestion des droits des applications qui est remis en cause et on est en droit de se poser la question : est ce que j'ai un moyen de sécuriser mes données. Sur windows, il y a d'autre logiciel qui nous permettent de se prémunir de ces vols mais sur l'IPhone, tu télécharges une app mais tu ne sais pas ce qu'elle fait vraiment.

Définition d'une faille ou vulnérabilité sur Wikipedia que je partage "Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse dans un système informatique permettant à un attaquant de porter atteinte à l'intégrité de ce système, c'est-à-dire à son fonctionnement normal, à la confidentialité et l'intégrité des données qu'il contient. On parle aussi de faille de sécurité informatique."
http://fr.wikipedia.org/wiki/Faille_...%A9curit%C3%A9

On peut ou ne pas être d'accord avec cette définition.
Avatar de Louis Griffont Louis Griffont - Inactif https://www.developpez.com
le 08/12/2009 à 12:58
Citation Envoyé par Traroth2  Voir le message
En fait, ce n'est pas vraiment une faille de sécurité. Ce sont les utilisateurs qui ont laissé tomber l'appareil !


Avatar de travon travon - Nouveau Candidat au Club https://www.developpez.com
le 08/12/2009 à 13:14
Citation Envoyé par dams78  Voir le message
Heu j'en mettrai pas ma main à couper mais et les systèmes BSD?


iphone OS et MAC OSX leur noyau Open Source XNU, est un noyau hybride basé sur le micro-noyau Mach et une version d'UNIX issue de BSD 4.4

Quand on lit son PDF, on comprends que la faille c'est l'utilisateur en fait.

Du sensationnel, rien de plus.
Avatar de RTN14 RTN14 - Membre régulier https://www.developpez.com
le 08/12/2009 à 14:19
Ce qui m'étonne le plus dans cette histoire, c'est que je vois tout les jours des critiques sur MS conrcernant sa sécurité ou ses programmes (gente " xp est une passoire") mais si on remarque les même chose chez Apple, ce ne sont plus des failles! Si ceci n'est pas une faille de sécurité, qu'est-ce qu'une faille de sécurité sur Windows?
De plus, sous Windows, même mobile, on a droit a une mise a jour dans la semaine pour régler le problème. Ici, il va falloir attendre une nouvelle version de l'os, qui sera probablement payante, pour que cela soit corriger.
Sinon, sous 7 le contrôle d'utilisateur existe toujours mais on peut modifier la manière dont il nous previent.

PS: Desole pour l'orthographe mais ce n'est pas facile avec l'iTouch
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 08/12/2009 à 18:42
Citation Envoyé par Gui13  Voir le message
Je trouve son PDF très bidon.
Ok il montre que toutes les API fournies par Apple permettent d'accéder aux données de l'utilisateur.
Mais je ne vois pas ce qui change de ce qui se passe sur mon ordi: toutes mes applis ont accès à mon dossier de documents, à ce que je sache!

En effet mais sur un téléphone on s'attend a avoir quelquechose de plus cloisoné justement pour éviter ça

Citation Envoyé par dams78  Voir le message
J'ai pas d'iphone mais un android, et c'est vrai qu'il y a beaucoup de chose sur notre vie privé dans ce petit appareil...

Ce qui me fait halluciner encore une fois c'est l'attitude de apple : ne pas se prononcer. Or tous les experts en sécurité l'affirme, la sécurité par l'obscurité (essayer de cacher des choses) n'a jamais fonctionner!

La sécurité non, mais la communication par le vide a toujours réussi a Apple
Avatar de souviron34 souviron34 - Expert éminent sénior https://www.developpez.com
le 09/12/2009 à 12:38
moi, ce qui me fait halluciner, c'est que on continue à prendre pour des fous les pôvs clampins qui n'arrêtent pas de dénoncer un asservissement de chacun d'entre vous à des "gadgets" qui surveillent en permanence vos faits et gestes, qui stockent des trucs chez vous, une hyper-dépendance et donc une totale non-liberté vis-à-vis de choses élémentaires de la sphère privée comme son carnet d'adresse, ou les livres qu'on lit.... sous prétexte de "manque de modernité" ...



Un bon petit carnet d'adresse papier, et à part le fait que vous le perdiez (et seule la personne qui le trouve aura des infos), et vous êtes protégés

Une cabine publique ou un téléphone fixe et hop vous êtes protégés

Un simple plan papier d'une ville et hop vous êtes protégés



Là, vous êtes piratés ou vous perdez votre iPhone ou Android ou BlackBerry, et hop, z'avez plus rien, ou toute votre vie est à disposition
Offres d'emploi IT
Architecte et intégrateur scade/simulink H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Data scientist senior H/F
Safran - Ile de France - Magny-les-Hameaux (Saclay)
Architecte systèmes études & scientifiques H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil