Grosse faille dans l’iPhone

L’iPhone est décidément au centre de toutes les préoccupations des experts en sécurité. Après que des hackers aient mis au point différents moyens pour contourner les protections mises en place par Apple, des chercheurs ont découvert une faille plutôt critique, la première de l’histoire du terminal.

Ces experts, qui travaillent pour Independent Security Evaluators (ISE), expliquent que cette vulnérabilité permet une prise de contrôle à distance quasi intégrale, rapporte leNew York Times.

Pour exploiter le trou, rien de plus facile : il suffit d’amener l’utilisateur de l’iPhone à visiter une page Web piégée ou à utiliser une liaison Wi-Fi.

« Lorsque que le code est injecté, il force l’iPhone à ouvrir une connexion sortante vers un serveur que nous contrôlons« , expliquent les chercheurs d’ISE.

En fait, la faille se situe au niveau du navigateur Safari, elle est de la famille ‘buffer overflow’ ou dépassement de la mémoire tampon. Les chercheurs ont ainsi développé un programme ‘proof of concept’ qui permet à un attaquant distant de récupérer les SMS, le carnet d’adresses, l’historique des appels, ou encore les messages vocaux.

« Nous pouvons récupérer tous les fichiers que nous souhaitons », a expliqué au New York Times Charles Miller, analyste principal chez ISE. Selon lui, il serait également possible de programmer l’appareil pour qu’il passe des appels surtaxés. Une aubaine pour les hackers. « N’importe quel appareil aussi complexe qu’un ordinateur, comme l’iPhone, aura des vulnérabilités », poursuit un autre membre de ISE.

ISE a bien évidemment communiqué ses conclusions à Apple qui déclare les prendre « très au sérieux ». Les chercheurs proposent même un patch à installer à ses risques et périls puisque non officiel.

ISE a indiqué qu’il fera une démonstration de cette vulnérabilité lors de la conférence annuelle BlackHat, qui aura lieu le 2 août.

Enfin, il faut souligner que la vulnérabilité touche également la version Mac et PC de Safari…