Discussion :

[Gordon Fowler]

Une énorme faille de sécurité découverte sur l'iPhone
Y compris ceux qui n'ont pas été jailbreakés, permet d'accéder à pratiquement toutes les données de l'appareil


Jusqu'ici la communication d'Apple mettait en avant que certes, il existe des problèmes de sécurité sur l'iPhone, son téléphone star, mais que ceux-ci découlait d'une opération parfaitement illégale, le "jailbreaking", et que par conséquent ni la société ni l'appareil en lui-même ne pouvaient en être tenus pour responsables.

L'argument était on ne plus justifié , mais il va falloir en trouver un autre.

Tous les iPhones, y compris ceux dont les protections anti-pirates n'ont pas été enlevées, sont victimes d'une faille de sécurité très importante. C'est en tout cas ce que rapporte Nicolat Seriot, un chercheur en sécurité lors d'une conférence à Genève sur la sécurité de l'iPhone.

Nicolas Seriot affirme que des malwares pourraient exploiter une faille pour accéder aux comptes mails des utilisateurs, aux historiques de recherches dans Safari et Youtube, au cache du clavier (et donc à ce qui a été tapé) et aux journaux de logs des connexions Wifi. Bref, à - à peu près - toute la vie privée du propriétaire du smartphone.

Pour lui, cette vulnérabilité est clairement le fruit d'une erreur majeure de conception. Certaines (sous)parties de l'OS de l'iPhone ne seraient tout simplement pas sécurisées. L'accès aux informations de l'iPhone et à ses fichiers peut découler d'un simple appel de variables. Même pas besoin d'une API privée semble s'étonner le chercheur.

Compte tenu de l'environnement de l'iPhone, Nicolas Seriot prévoit que les trojans se propageront via l'Apple App Store - ce qui n'est pas très dur à prévoir - mais surtout qu'il sera extrêmement difficile de les repérer : "les Spywares peuvent être très intelligents, la nature dynamique de l'Objective-C n'aide pas non plus".

C'est donc bien vers l'iPhone qu'il faudrait porter les efforts. Seriot donne d'ailleurs quelques pistes dont la plus urgente serait d'implémenter une nouvelle procédure pour les droits d'accès. Cette procédure introduirait différents niveaux de privilège pour accéder aux différentes données stockées dans le téléphone. Par défaut, leur accès devrait également être refusé souligne le chercheur.

De son coté Apple s'est refusé à tout commentaire.

Petit détail, Nicolas Seriot est un Apple-Fan.


Source : La présentation de Nicolas Seriot

Lire aussi :

Les "bulles brillantes à coins ronds" sont déposées par Apple, l'AppStore cherche-t-il à se mettre les développeurs à dos ?

L'iPhone est une "reine de beauté sans cerveau" affirme Motorola, en le comparant à son tout nouveau Droid

99 % des utilisateurs d'iPhones se disent satisfaits de leur appareil, Apple enregistre un taux de satisfaction record

Quel système d'exploitation mobile est le meilleur pour développer des applications ? L'iPhone, BlackBerry ou Android ?

Les rubriques (news, tutos, forums) de Developpez.com :

Mac
Securite
Mobile
Système

Et vous ? :

Pensez-vous qu'Apple est en train de perdre son image de constructeur de terminaux ulta-sûrs ?
Ou au contraire, pensez-vous comme Nicolat Seriot, qu'Apple a mauvaise presse parce que son succès rend jaloux ?

[Federico_muy_bien]

Eh bein c'est pas reluisant ! et c'est bien ce que je constate. J'ai un Iphone et au plus je l'utilise au plus je me dit que dedans il y a tout sur moi !!! ça a interet à etre bien sécurisé !!

Et petit point le jailbreak n'est pas forcément illégal !!! Si on étudie la loi DADVSI, celle-ci nous dit qu'il est interdit de contourner des verrouillages mis en place par les éditeurs (donc ici Apple) sauf pour assurer l'interopérabilité.

Apple indique que l'appareil iPhone ne fonctionne qu'avec iTunes sur les systèmes d'exploitation MacOs ou Windows.
On peut alors considérer le Jailbreak comme un moyen nécessaire pour assurer l'interopérabilité de l'iPhone avec Ubuntu par exemple.

Ps: pour le firmware 3.0 iphone interdit le jailbreak directement dans la licence d'utilisation à accepter pour l'installation du firmware

…Sauf que, en droit français, la loi est plus forte que le contrat. La clause interdisant le jailbreak est donc sans doute abusive, donc réputée non écrite.

(Source : Documentation officielle de Ubuntu)

C'est un peu comme la vente liée

[Inazo]

Bonjour à tous,

Pas étonné du tout que se genre d'annonce sur les faiblesses de sécurité de l'iPhone commencent à se propager. Cependant quand on voie les possibilités d'attaques j'ai bien raison de pas encore avoir craqué pour un iPhone.

Je ne suis pas anti-iPhone, ni forcément très pro-Android, par contre se genre de chose pourrais peut-être aussi voir le jour sur Android.

Espérons juste qu'Apple soigne un peu plus son petit bijou.

Cordialement,

EDIT :

Juste une édition car ça ne vaut pas plus que ça : Définition d'argument

[Traroth2]

En fait, ce n'est pas vraiment une faille de sécurité. Ce sont les utilisateurs qui ont laissé tomber l'appareil !

[Traroth2]

Bonjour à tous,

Pas étonné du tout que se genre d'annonce sur les faiblesses de sécurité de l'iPhone commencent à se propager. Cependant quand on voie les possibilités d'attaques j'ai bien raison de pas encore avoir craqué pour un iPhone.

Je ne suis pas anti-iPhone, ni forcément très pro-Android, par contre se genre de chose pourrais peut-être aussi voir le jour sur Android.

Espérons juste qu'Apple soigne un peu plus son petit bijou.

Cordialement,

Mais c'est quoi, comme argument, ça ? Ça pourrait aussi arriver sur Android ? Mais le fait est que c'est arrivé sur l'iPhone ! Les bugs possibles et les bugs vérifiés, ce n'est quand même pas équivalent, si ? Dans le même registre : si ma tante en avait, je l'appellerais mon oncle...

[dams78]

J'ai pas d'iphone mais un android, et c'est vrai qu'il y a beaucoup de chose sur notre vie privé dans ce petit appareil...

Ce qui me fait halluciner encore une fois c'est l'attitude de apple : ne pas se prononcer. Or tous les experts en sécurité l'affirme, la sécurité par l'obscurité (essayer de cacher des choses) n'a jamais fonctionner!

[Gui13]

Je trouve son PDF très bidon.
Ok il montre que toutes les API fournies par Apple permettent d'accéder aux données de l'utilisateur.
Mais je ne vois pas ce qui change de ce qui se passe sur mon ordi: toutes mes applis ont accès à mon dossier de documents, à ce que je sache!

Le mec parle "d'une faille énorme", mais la faille c'est que l'utilisateur installe une application qu'il ne connait pas et qui a les moyens de se connecter sur internet et de lire ses mails. Moi j'appelle ça thunderbird, et je ne hurle pas parce qu'il a accès à mes données.

Il n'y a pas de "faille" au sens "l'utilisateur fait rien, il se retrouve infecté".

Coup de pub pour le mec...

[keitaro_bzh]

A tout ceux qui critiquent MS pour ses failles de sécurités comprendront peut-être que finalement, c'est le "succès" (ou domination sur le marché) du produit qui fait qu'on y trouve de nombreuses failles de sécurité...

Ce genre de news ne m'étonne guère, et il en sera de même pour Android en temps et en heure...

Aucun système n'est infaillible (comme certains aimeraient nous le faire croire), alors espérons qu'Apple réagisse vite si cette faille s'avère aussi dangereuse que décrite.

[jmini]

Voila qui met encore plus de pression sur les validateurs de l'AppStore... En gros s'ils laissent passer des Malwares (du genre un programme anodin, mais qui cache ses accès), personne ne leur fera plus confiance.

[dams78]

Aucun système n'est infaillible (comme certains aimeraient nous le faire croire), alors espérons qu'Apple réagisse vite si cette faille s'avère aussi dangereuse que décrite.

Heu j'en mettrai pas ma main à couper mais et les systèmes BSD?

Sinon d'après mes cours de sécurité, il existe des systèmes totalement sécurisé, c'est leur implantation et leurs contraintes qui font qu'ils sont difficilement utilisable.

[kuranes]

Je trouve son PDF très bidon.
Ok il montre que toutes les API fournies par Apple permettent d'accéder aux données de l'utilisateur.
Mais je ne vois pas ce qui change de ce qui se passe sur mon ordi: toutes mes applis ont accès à mon dossier de documents, à ce que je sache!

Le mec parle "d'une faille énorme", mais la faille c'est que l'utilisateur installe une application qu'il ne connait pas et qui a les moyens de se connecter sur internet et de lire ses mails. Moi j'appelle ça thunderbird, et je ne hurle pas parce qu'il a accès à mes données.

Il n'y a pas de "faille" au sens "l'utilisateur fait rien, il se retrouve infecté".

Coup de pub pour le mec...

Je pense qu'il faudrait que tu vérifie ta version de thunderbird...

Nicolas Seriot affirme que des malwares pourraient exploiter une faille pour accéder aux comptes mails des utilisateurs, aux historiques de recherches dans Safari et Youtube, au cache du clavier (et donc à ce qui a été tapé) et aux journaux de logs des connexions Wifi. Bref, à - à peu près - toute la vie privée du propriétaire du smartphone.

Si effectivement ton thunderbird accède au cache du clavier (par exemple), il y a comme un petit soucis

[Averroes]

@Gui13, je pense ce qu'il veut dire c'est que n'importe quelle application installée a accés au données utilisateurs que ce soit une lampe torce (écran blanc) ou un PIM sans pour autant avertir l'utilisateur de cette accès. Peut-être que je me trompe.
L'approche Android il me semble c'est que l'application sur l'android market liste obligatoirement toute les permissions activés que ce soit l'accés au réseau que les données contacts. Même pour les applications qui ne sont pas forcément du market affiche les droits nécessaire que demande l'application.
Quand vous voyez une application lampe torche qui demande l'accés au réseau et au contact on l'installera pas.
De même quand une application vient d'un éditeur obscure et qui demande les infos contact et réseau on y réfléchit à deux fois.

Mais la question que je me poserais est est ce qu'Apple à les moyens de garantir la sureté des données lors de la validation d'une appli sur l'App store?
Bah ça serait utile qu'il valide aussi l'application au niveau sécurité plutot que juste se concentrer sur l'interface et les doublons d'appli apple.

Ne connaissant pas très bien le SDK de l'iphone, j'ai fait une grosse supposition sur la gestion des droits d'accès des applications.

[Gui13]

Le problème c'est que le téléphone est le nouvel ordinateur.
Personne ne prend le soin de vérifier que le programme qu'il télécharge sur Clubic est pas un truc vérolé jusqu'à la moelle, qu'il y a pas de keylogger ou autre bizarrerie dessus. On a des antivirus et des firewalls pour ça.
D'ailleurs les applis qui téléphonent à la maison il y en a des tas et des tas sur windows.

Le problème, c'est que les gens qui achètent ce smartphone s'imaginent qu'ils ont affaire à un simple téléphone, alors que c'est un ordinateur qu'ils ont dans la main, avec des API publiques qui permettent, comme sous OSX ou sous Windows, de toucher au filesystem, à aller piocher dans les contacts, etc..

Effectivement il y a tout un tas de possibilités pour sécuriser la chose*, mais ne parlez pas alors d' "énorme faille de sécurité découverte sur l'iPhone; c'est faire du sensationnalisme!

*très bonne idée de demander le débloquage de certaines API à l'utilisateur, mais rappelez-vous UAC, c'était exactement ça et ca a lourdé tous les utilisateurs de Vista

[Averroes]

Mais on a affaire à un système dit controlé de A-Z par une seule entité (Apple), on est loin de Windows, OS X ou Linux.

C'est la gestion des droits des applications qui est remis en cause et on est en droit de se poser la question : est ce que j'ai un moyen de sécuriser mes données. Sur windows, il y a d'autre logiciel qui nous permettent de se prémunir de ces vols mais sur l'IPhone, tu télécharges une app mais tu ne sais pas ce qu'elle fait vraiment.

Définition d'une faille ou vulnérabilité sur Wikipedia que je partage "Dans le domaine de la sécurité informatique, une vulnérabilité est une faiblesse dans un système informatique permettant à un attaquant de porter atteinte à l'intégrité de ce système, c'est-à-dire à son fonctionnement normal, à la confidentialité et l'intégrité des données qu'il contient. On parle aussi de faille de sécurité informatique."
http://fr.wikipedia.org/wiki/Faille_...%A9curit%C3%A9

On peut ou ne pas être d'accord avec cette définition.

[Louis Griffont]

En fait, ce n'est pas vraiment une faille de sécurité. Ce sont les utilisateurs qui ont laissé tomber l'appareil !

[travon]

Heu j'en mettrai pas ma main à couper mais et les systèmes BSD?

iphone OS et MAC OSX leur noyau Open Source XNU, est un noyau hybride basé sur le micro-noyau Mach et une version d'UNIX issue de BSD 4.4



Quand on lit son PDF, on comprends que la faille c'est l'utilisateur en fait.

Du sensationnel, rien de plus.

[RTN14]

Ce qui m'étonne le plus dans cette histoire, c'est que je vois tout les jours des critiques sur MS conrcernant sa sécurité ou ses programmes (gente " xp est une passoire") mais si on remarque les même chose chez Apple, ce ne sont plus des failles! Si ceci n'est pas une faille de sécurité, qu'est-ce qu'une faille de sécurité sur Windows?
De plus, sous Windows, même mobile, on a droit a une mise a jour dans la semaine pour régler le problème. Ici, il va falloir attendre une nouvelle version de l'os, qui sera probablement payante, pour que cela soit corriger.
Sinon, sous 7 le contrôle d'utilisateur existe toujours mais on peut modifier la manière dont il nous previent.

PS: Desole pour l'orthographe mais ce n'est pas facile avec l'iTouch

[Uther]

Je trouve son PDF très bidon.
Ok il montre que toutes les API fournies par Apple permettent d'accéder aux données de l'utilisateur.
Mais je ne vois pas ce qui change de ce qui se passe sur mon ordi: toutes mes applis ont accès à mon dossier de documents, à ce que je sache!

En effet mais sur un téléphone on s'attend a avoir quelquechose de plus cloisoné justement pour éviter ça

J'ai pas d'iphone mais un android, et c'est vrai qu'il y a beaucoup de chose sur notre vie privé dans ce petit appareil...

Ce qui me fait halluciner encore une fois c'est l'attitude de apple : ne pas se prononcer. Or tous les experts en sécurité l'affirme, la sécurité par l'obscurité (essayer de cacher des choses) n'a jamais fonctionner!

La sécurité non, mais la communication par le vide a toujours réussi a Apple

[souviron34]

moi, ce qui me fait halluciner, c'est que on continue à prendre pour des fous les pôvs clampins qui n'arrêtent pas de dénoncer un asservissement de chacun d'entre vous à des "gadgets" qui surveillent en permanence vos faits et gestes, qui stockent des trucs chez vous, une hyper-dépendance et donc une totale non-liberté vis-à-vis de choses élémentaires de la sphère privée comme son carnet d'adresse, ou les livres qu'on lit.... sous prétexte de "manque de modernité" ...




Un bon petit carnet d'adresse papier, et à part le fait que vous le perdiez (et seule la personne qui le trouve aura des infos), et vous êtes protégés

Une cabine publique ou un téléphone fixe et hop vous êtes protégés

Un simple plan papier d'une ville et hop vous êtes protégés






Là, vous êtes piratés ou vous perdez votre iPhone ou Android ou BlackBerry, et hop, z'avez plus rien, ou toute votre vie est à disposition