L’iPhone menacé de piratage par simple SMS

Publié le par Information Hight du moment


Un expert en sécurité prétend que le téléphone d’Apple peut être contrôlé à distance par des pirates. Cette faille toucherait aussi les appareils utilisant Windows Mobile et Android.


Les découvertes de failles de sécurité touchant l'iPhone se multiplient. La dernière en date a de quoi dérouter plus d'un possesseur du téléphone d'Apple.« N'importe qui peut rapidement prendre le contrôle de tous les iPhone dans le monde avec ma méthode », prétend Charlie Miller. Pour appuyer son propos, cet expert en sécurité travaillant pour la société Independent Security Evaluators doit présenter sa technique de piratage aujourd'hui au Black Hat USA, le grand rendez-vous estival de la sécurité informatique à Las Vegas.

La méthode, que le chercheur a résumée dans un document en ligne, s'appuie sur des failles touchant la gestion des SMS sur l'iPhone. Elle a été appliquée aux versions 2.2 et 2.1 du système d'exploitation de l'appareil, mais pas à la toute dernière mouture, la 3.0. Elle consiste à envoyer plusieurs centaines de SMS en apparence anodins (un seul de ces messages sera visible pour l'utilisateur et apparaîtra sous la forme d'un petit carré). En réalité, ils contiennent différentes parties d'un code malveillant. Lorsque tous les éléments sont dans la mémoire de l'iPhone, ce dernier interprète automatiquement les codes binaires de programmation contenus dans les SMS et les assemble. Puis le logiciel ainsi recomposé s'exécute. 

Un patch de dernière minute:

Dans son exposé, Charlie Miller évoque deux types d'attaque par SMS ; la première conduit à planter totalement l'iPhone, la seconde à bloquer toutes les communications sur le téléphone. Mais la méthode permettrait tout aussi bien d'agir sur d'autres composants logiciels du terminal, afin par exemple d'activer le micro, la caméra, de lancer un appel téléphonique…

Cette méthode apparaît d'autant plus redoutable qu'il n'est pas nécessaire que l'utilisateur visualise le SMS, clique sur un lien Internet ni installe un fichier joint au fameux SMS. La seule parade pour éviter l'exécution du code consiste à éteindre son iPhone, selon Charlie Miller.

Les impacts de cette technique de piratage pourraient être très gênants pour les utilisateurs, à défaut d'être critiques. Charlie Miller indique avoir averti Apple il y a un mois environ de sa découverte. Aujourd'hui, la marque n'a toujours pas fait de commentaire, mais elle aurait publié un correctif juste avant l'intervention de l'expert au Black Hat. Un différend pourrait être à l'origine du silence d'Apple. Lors du CanSecWest 2009, une conférence sur la sécurité qui a eu lieu en mars dernier à Vancouver, cet expert a précisé que, dorénavant, il ne donnerait plus gratuitement aux éditeurs concernés les informations sur les failles qu'il découvre.


Android et Windows Mobile touchés eux aussi :
L'iPhone ne serait pas le seul concerné par cette attaque via des SMS. Selon Charlie Miller, les téléphones fonctionnant avec Windows Mobile et Android pourraient être affectés de la même façon. L'exploitation de SMS piégés commence d'ailleurs à se développer. Il y a quelques jours, Trend Micro et d'autres experts indépendants ont découvert un cheval de Troie permettant de prendre le contrôle d'un mobile utilisant Symbian. Dès qu'on se connecte à un site toujours en ligne, on peut télécharger un petit programme appelé sexySpace.sisx. Une fois installé, il récupère des données personnelles et peut envoyer aux contacts de l'utilisateur des SMS piégés invitant à installer… Sexy Space. 

Pour être informé des derniers articles, inscrivez vous :
Commenter cet article