L’iPhone sera-t-il une cible de choix pour les pirates? En mettant à jour le firmware de l’iPhone en version 1.1.1, Apple a introduit une brèche de sécurité qui pourrait se révéler assez critique pour les utilisateurs.
La mise à jour de l’iPhone avait pour objectif d’améliorer les fonctionnalités du téléphone mais aussi d’interdire le déverrouillage du terminal, même si Apple s’en défend. Le déverrouillage permet notamment d’utiliser l’iPhone pour téléphoner avec n’importe quel opérateur et d’installer des applications tierces.
Le reverrouillage de l’iPhone avait donc poussé les hackers à chercher de nouvelles solutions pour exploiter le téléphone, y compris le retour à la version antérieure (1.0.2) su système. D’autres ont planché sur l’exploitation de la vulnérabilité liée au format d’images Tiff malformées. Si cette faille autorise le déblocage de l’iPhone, elle ouvre la porte à une exploitation plus pernicieuse du téléphone mobile. La lecture d’une image malformée peut provoquer un dépassement de capacité (buffer overflow) et autoriser l’écriture de script et son exécution sur le système.
Déjà exploitée sur la PSP
Le hacker HD Moore démontre sur son blog Metasploit Project la possibilité d’exploiter la faille Tiff pour exécuter du code arbitraire sur l’iPhone et prendre éventuellement son contrôle. Ce qui permettrait à un pirate d’espionner à sa guise l’usage de l’iPhone (vol des contacts, surveillance des appels passés et reçus, des messages envoyés, détournement de la connexion Internet…) et même de prendre des photos ou de pister le propriétaire du téléphone. Sur Toc2rta, Niacin va jusqu’à fournir le code de l’exploitation de la faille.
Cette technique n’a rien de nouveau. Repérée par l’intermédiaire des suites bureautique OpenOffice et StarOffice, la vulnérabilité Tiff (ou ‘libtiff’ pour ‘TIFF library’) avait également été exploitée pour exécuter du code arbitraire sur la PSP, la console de jeux portable de Sony. Toute la difficulté pour le pirate est de convaincre un utilisateur d’iPhone d’afficher, dans le navigateur Safari (mais aussi la messagerie et iTunes), une image Tiff malformée.
Pour le moment, il n’existe aucun correctif pour combler cette vulnérabilité. Mais Apple devrait très prochainement mettre à jour le firmware de l’iPhone en version 1.1.2. Avec, à la clé, un reverrouillage du téléphone.
Deux offres de cybersécurité portées par ITrust et Docaposte intègrent des suites collaboratives. Présentation.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…