Services
Un expert en sécurité a récemment découvert une faille dans iOS. Cette faille permet d'injecter du code. La particularité? Apple a validé indirectement cette faille.
Non, Apple n'a pas participé au piratage de son propre système d'exploitation mobile. En fait, Charlie Miller, notre expert en sécurité, a créé une application permettant de suivre les cours de la Bourse. Instastock, c'est le nom de l'application, a été validée par Apple puis proposée sur l'App Store en téléchargement.
La faille aurait un lien avec le moteur JavaScript de Safari pour iOS: Nitro. Il a été possible pour Miller de faire exécuter par son application du code non vérifié par Apple, ce qui lui a permis d'avoir accès aux informations du téléphone. Voler les photos, faire sonner le téléphone ou encore accéder aux contacts a été rendu possible grâce à ce petit code pernicieux dans l'application validée par Apple.
Comme tout bon chercheur en sécurité, Charlie Miller a signalé la faille à Apple, qui n'a pas tardé à lui répondre ! La première réponse fut de retirée l'application de l'App Store quelques heures après le signalement. La deuxième réponse est un peu plus sévère: «Oh mon Dieu ! Apple m'a chassé du programme iOS Developper. C'est si désagréable !», a ainsi révélé Charlie Miller sur Twitter. Eh oui, Apple tue le messager!
Quoi qu'il en soit, il présentera la vulnérabilité à ses confrères et autres experts lors de la conférence SyScan qui se déroulera les 17 et 18 novembre prochains à Taïwan.
(Sources: ZDNet, Forbes, Register)
Suivez BRANCHEZ-VOUS! Techno sur Facebook et Twitter
Suivez Nicolas Laffont sur Twitter, Facebook et Google+!
par Nicolas Laffont
est
On oublie Apple pour le moment et un mec se pointe dans un commerce, vole un objet et sort par une porte qui est mal surveillée. Ensuite, le mec dévoile son vol et explique comment il s'en est tiré.
Ensuite il ne comprends pas pourquoi il est inculpé? Il est devenu une victime?
Franchement...!
@MIK, non vous avez tout faux... Je reprend votre phrase et ajoute ce que vous avez oublié:
un mec se pointe dans un commerce, vole un objet et sort par une porte qui est mal surveillée. Ensuite, le mec dévoile son vol au commerce et leur explique comment il s'en est tiré pour éviter que d'autres clients puissent utiliser cette faille, et comme remerciement le commerce lui interdit de revenir dans le magasin.
C'est pour ces raisons qu'il dévoilera la faille parce qu'Apple l'a injustement remercier en le bannissant du réseau de développeur, au lieu de lui dire merci.
En faites,
Faut aussi remplacer un mec se pointe dans un commerce
par un expert en sécurité entre dans un commerce, analyse le système d'alarme, vole un objet .....
Et puis, combien de patch de MS, Google ou Mozilla sont justement dû à se genre de pratique.
Bref, si un développeur découvre une faille dans IOS, s'il veux continuer à faire des apps pour le Apple, ben, y dois fermer sa gueule.
sauf que le gars a ouvert sa gueule car Apple l'a mit dehors... si il avait ete "backer" par Apple, personne en parlerait aujourd'hui.
Certains mélangent tout. Ce n'est pas un voleur, mais un spécialiste en sécurité. Il n'a rien volé. Cependant, cela met à jour ce que certains pourraient réaliser sans le mentionner à Apple évidement car ils ont d'autres buts beaucoup moins "noble". C'est une faille de sécurité énorme qui a été découverte, et Apple a fait une erreur (une autre!) en tentant de tuer le messager.
