En quelques jours, les nuages sombres de la sécurité informatique sont venus perturber l’azur paradisiaque qui dominait dans le monde merveilleux de l’utilisateurs d’iPhone:
Cela a d’abord été les critiques virulentes sur le niveau particulièrement bas du chiffrement matériel emabarqué dans l’iPhone 3GS a destination du marché des entreprises.
Et puis, patatras, Charles A. Miller d’Independant Security Evaluator et Collin Mulliner de TU/Berlin nous font une démonstration de la prise de contrôle à distance d’un iPhone avec une salve de SMS au BlackHat de Las Vegas.
Ils n’en était pas à leur coup d’essai puisqu’il avait déjà identifié en 2007 un « exploit », un peu compliqué mais faisable quand meme.
Encore plus prés en juin 2009, il avait présenté l’exploit qui est la base de leur démonstration du jour. (Le détail de l’exploit de juin 2009).
Et franchement, il ne fallait pas être un génie pour deviner que ce problème allait apparaître: l’Iphone 3GS fournit une fonctionnalité très demandée par les entrerprises : L’administration à distance et le blocage à distance!!!!
La seule présentation de cette fonctionnalité lors du Keynote du 3GS m’avait fait déjà imaginer le pire. Restait à le démontrer. Merci Monsieur Miller.
Toujours est-il qu’Apple s’est empressé de signer avec lui un accord de confidentialité, mais les jours passent et le correctif promis n’apparait pas. (Guettez le fimware 3.1)
Au passage, les vendeurs d’antivirus, qui doivent ne plus pouvoir contenir leur joie de voir ce nouveau marché potentiel s’ouvrir enfin, se mettent à parler et révélent l’existence de méchants chevaux de Troie, qui ciblaient déjà le Palm Zire, Google Android ou Windows Mobile.
Alors faut-il paniquer et éteindre son iPhone tout de suite?
Premier constat : Cette faille ne semble toucher que le 3GS (à vérifier) et sa fonction d’administration distante.
Deuxième constat: Pour l’exploiter, il faut recevoir plusieurs dizaines de SMS. (Donc si vous êtes « SMS spammés », vous savez ce qu’il vous reste à faire: shutdown!) Mais ils ont l’air d’être invisibles les bougres!
N’oublions pas que, comme le dit d’ailleurs Charles Miller, l’iPhone est une plateforme beaucoup plus sûr que MacOS X (sic!) car il ne supporte pas les applets JAVA et Flash (resic!).
Mais enfin, un processeur à 600 Mhz, 256 Mo de RAM, 16 Go de stockage et une connexion réseau pouvant atteindre plusieurs Mega-bits vers Internet, ca ne vous rappele rien???
Ah oui bien sur, c’est ce qu’était un PC ou un MAC quand le marché des anti-virus a commencé à exploser.
Il y a quand même quelques grandes différences entre un iPhone et un PC ou un MAC:
- L’iPhone n’est pas multitache!
- L’iPhone ne permet pas à ses applications d’utiliser un espace de stockage local commun à moins qu’il soit sur Internet.
Et croyez moi, les génies qui ont ponduent ce mini-ordinateur de moins de 200g n’ont pas mis en place ces restrictions par hasard.
Cela veut dire que lorsqu’une application n’est pas visible, elle ne tourne pas!
Sauf bien sur si c’est l’OS qui est contaminé.
Mais le périmètre vital à défendre est quand même plus restreint.
Références:
BlackHat 2009 : http://www.blackhat.com/
En 2007: http://securityevaluators.com/content/case-studies/iphone//
BusinessMobile.fr :
Le SMS, talon d’Achille de l’iPhone
iPhone 3G S : le système de cryptage ne tient pas la route
Une faille de sécurité critique découverte dans liPhone 3G S
CNET : L’iPhone et la faille des SMS piégés
Zataz : Piratage de téléphone portable, explication
ZDNet : Une première faille découverte dans l’iPhone d’Apple
Le Journal du Net : Black Hat : petites querelles de hackers et faille dans l’Iphone
Quelques heures après ce billet, Apple a réagi et la mise à jour 3.0.1 est disponible. Au passage, il semble bien que c’était tout les iPhones avec firmware 3.0 qui étaient victimes de la faille. Ouf! A quand la prochaine frayeur?
Commentaire by Aymeric — 2.8.2009 @ 00:08