Après le problème d'antenne de l'iPhone 4, la réputation
d'infaillibilité d'Apple risque de prendre un nouveau coup. Vupen, une société
française de sécurité informatique a indiqué mardi qu'une brèche dans l'iOS -
le système d'exploitation commun à l'iPhone, l'iPad et l'iPod - pourrait, entre autres, permettre à des
pirates d'écouter à distance les communications téléphoniques d'un utilisateur.
TF1 News a demandé à Chaouki Bekrar, PDG de cette société basée à Montpellier,
de nous expliquer les origines et conséquences éventuelles de cette faille.
TF1 News : Comment votre société a-t-elle été amenée à s'intéresser à
une faille dans le système d'exploitation iOS ? Chaouki Bekrar - PDG de Vupen : Vupen a analysé et confirmé
deux vulnérabilités affectant plusieurs versions et modèles d'Apple iPhone,
iPad ou iPod. Ces failles de sécurité ont été découvertes et exploitées par
l'auteur d'un site web américain dont le but était de permettre aux propriétaires
d'appareils Apple de "jailbreaker" leur périphérique afin de passer
outre les restrictions imposées par le constructeur et de pouvoir par exemple
installer des applications qui ne sont pas disponibles sur l'App Store de
manière officielle.
TF1 News : Comment se déroule l'attaque ? C.B. : Il y a deux étapes : la première consiste à inviter
une personne à visiter une page web via son iPhone, iPad ou iPod. Cette page
identifie le modèle et la version de l'appareil. Puis redirige automatiquement
l'utilisateur vers un fichier PDF piégé exploitant une première faille de
sécurité liée à la lecture de documents PDF. Une fois la première étape
réussie, une deuxième faille de sécurité est exploitée au sein de l'appareil.
Cette fois la vulnérabilité se situe dans le noyau du système iOS, ce qui
permet d'exécuter un code privilégié et de prendre le contrôle total de
l'appareil.
TF1 News : Quels dangers pourraient présenter l'exploitation d'une
telle faille ? C.B. : Des pirates pourraient modifier les codes originaux
afin de remplacer le "jailbreaker" par un programme plus dangereux et
malicieux permettant par exemple d'écouter les communications téléphoniques ou
d'envoyer des messages à l'insu de l'utilisateur de l'iPhone. Apple travaille
actuellement à la correction de ces failles de sécurité et devrait publier une
mise à jour pour les différents appareils d'ici les prochaines semaines.
Par Loïc BEUNAICHE le 04 août 2010 à 19:00