{"id":1319,"date":"2011-11-20T23:28:18","date_gmt":"2011-11-20T21:28:18","guid":{"rendered":"http:\/\/www.auditsi.eu\/?p=1319"},"modified":"2011-11-20T23:28:18","modified_gmt":"2011-11-20T21:28:18","slug":"une-faille-de-securite-permet-de-controler-un-iphone-a-distance","status":"publish","type":"post","link":"https:\/\/www.auditsi.eu\/?p=1319","title":{"rendered":"Une faille de s\u00e9curit\u00e9 permet de contr\u00f4ler un iPhone \u00e0 distance"},"content":{"rendered":"

Comme tout syst\u00e8me informatique, l\u2019iPhone est vuln\u00e9rable aux failles de son OS et aux attaques et notamment aux chevaux de Troie. C\u2019est ce qu\u2019a cherch\u00e9 \u00e0 d\u00e9montrer Charlie Miller avec son application Instastock. Cette menace concerne tous les syst\u00e8mes, non seulement les iPhones mais aussi les PC, Mac, Android\u2026 L\u2019insertion d\u2019un code malicieux au sein d\u2019un programme est tr\u00e8s difficile \u00e0 d\u00e9celer ; ceci doit inciter l\u2019utilisateur \u00e0 la plus grande prudence dans la provenance de ses applications. B. R.<\/p>\n

Extrait de l\u2019article publi\u00e9 sur Degroupnews.com :<\/p>\n

Les iPhone et iPad ne sont pas \u00e0 l’abri des failles. Charlie Miller, un chercheur en s\u00e9curit\u00e9 informatique, a mis en \u00e9vidence une nouvelle vuln\u00e9rabilit\u00e9 d’iOS permettant de prendre le contr\u00f4le d’un terminal \u00e0 l’insu de l’utilisateur gr\u00e2ce \u00e0 un code malicieux cach\u00e9 dans une application.<\/em><\/p>\n

Ce n’est pas la premi\u00e8re fois que Charlie Miller met en lumi\u00e8re une faille sur les terminaux d’Apple. Cet ancien de la NSA, sp\u00e9cialiste en s\u00e9curit\u00e9 informatique, avait d\u00e9j\u00e0 r\u00e9v\u00e9l\u00e9 une vuln\u00e9rabilit\u00e9 de l’iPhone. Gr\u00e2ce \u00e0 un SMS sp\u00e9cial, il \u00e9tait possible d’\u00e9couter les conversations sur le t\u00e9l\u00e9phone ou d’en prendre le contr\u00f4le. Cette fois-ci, le chercheur pointe du doigt un d\u00e9faut de s\u00e9curit\u00e9 avec une application.<\/em><\/p>\n

La m\u00e9thode utilis\u00e9e est en fait assez simple. Il existe une faille de s\u00e9curit\u00e9 dans Nitro, le moteur Javascript du navigateur Safari pr\u00e9sent sur iOS. Cette br\u00e8che permet d’ex\u00e9cuter du code non sign\u00e9 sans que l’iPhone ou l’iPad ne bronche. En r\u00e9sum\u00e9, il suffit qu’une personne mal intentionn\u00e9e cache une action nocive dans une application pour prendre le contr\u00f4le complet du terminal.<\/em><\/p>\n

Charlie Miller est d’ailleurs pass\u00e9 de la th\u00e9orie \u00e0 la pratique. Il a cr\u00e9\u00e9 une application appel\u00e9e Instastock permettant de suivre le cours de la bourse en direct mais il a inclus un code malicieux permettant d’exploiter la fameuse faille. Il a soumis l’application en question \u00e0 Apple qui l’a valid\u00e9e sans le moindre probl\u00e8me.<\/em><\/p>\n

Du coup, les terminaux Apple sur lesquels l’application est install\u00e9e peuvent \u00eatre la cible de nombreuses actions (exploration des dossiers, ajout et suppression de fichiers, vibration du terminal, t\u00e9l\u00e9chargement du carnet de contacts…) sans que l’utilisateur ne s’en rende compte. [\u2026]<\/em><\/p>\n

Cet exemple montre une nouvelle fois que le syst\u00e8me mis en place par Apple pour la publication des applications n’est pas exempt de d\u00e9fauts. Pour l’instant, les seules r\u00e9ponses apport\u00e9es par la firme \u00e0 la pomme sont la suppression de l’application Instastock de l’App Store et l’exclusion de Charlie Miller de la communaut\u00e9 des d\u00e9veloppeurs iOS. Il reste maintenant \u00e0 savoir si une mise \u00e0 jour d’iOS est pr\u00e9vue pour colmater cette faille rapidement.<\/em><\/p>\n

Pour lire l\u2019article complet : http:\/\/www.degroupnews.com\/actualite\/n6967-iphone-ipad-faille-securite-apple.html<\/a><\/p>\n

\"Share<\/a>