Pour gérer vos consentements :
Categories: MobilitéSmartphones

L’iPhone victime d’une vulnérabilité qui pourrait se révéler critique

L’iPhone sera-t-il une cible de choix pour les pirates? En mettant à jour le firmware de l’iPhone en version 1.1.1, Apple a introduit une brèche de sécurité qui pourrait se révéler assez critique pour les utilisateurs.

La mise à jour de l’iPhone avait pour objectif d’améliorer les fonctionnalités du téléphone mais aussi d’interdire le déverrouillage du terminal, même si Apple s’en défend. Le déverrouillage permet notamment d’utiliser l’iPhone pour téléphoner avec n’importe quel opérateur et d’installer des applications tierces.

Le reverrouillage de l’iPhone avait donc poussé les hackers à chercher de nouvelles solutions pour exploiter le téléphone, y compris le retour à la version antérieure (1.0.2) su système. D’autres ont planché sur l’exploitation de la vulnérabilité liée au format d’images Tiff malformées. Si cette faille autorise le déblocage de l’iPhone, elle ouvre la porte à une exploitation plus pernicieuse du téléphone mobile. La lecture d’une image malformée peut provoquer un dépassement de capacité (buffer overflow) et autoriser l’écriture de script et son exécution sur le système.

Déjà exploitée sur la PSP

Le hacker HD Moore démontre sur son blog Metasploit Project la possibilité d’exploiter la faille Tiff pour exécuter du code arbitraire sur l’iPhone et prendre éventuellement son contrôle. Ce qui permettrait à un pirate d’espionner à sa guise l’usage de l’iPhone (vol des contacts, surveillance des appels passés et reçus, des messages envoyés, détournement de la connexion Internet…) et même de prendre des photos ou de pister le propriétaire du téléphone. Sur Toc2rta, Niacin va jusqu’à fournir le code de l’exploitation de la faille.

Cette technique n’a rien de nouveau. Repérée par l’intermédiaire des suites bureautique OpenOffice et StarOffice, la vulnérabilité Tiff (ou ‘libtiff’ pour ‘TIFF library’) avait également été exploitée pour exécuter du code arbitraire sur la PSP, la console de jeux portable de Sony. Toute la difficulté pour le pirate est de convaincre un utilisateur d’iPhone d’afficher, dans le navigateur Safari (mais aussi la messagerie et iTunes), une image Tiff malformée.

Pour le moment, il n’existe aucun correctif pour combler cette vulnérabilité. Mais Apple devrait très prochainement mettre à jour le firmware de l’iPhone en version 1.1.2. Avec, à la clé, un reverrouillage du téléphone.

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago