Deux semaines auront semble-t-il suffit à briser l'iPhone. Pas au sens propre, bien entendu (bien que ce soit également déjà fait !). Mais même au figuré, la vulnérabilité découverte dans le dernier gadget d'Apple est parfaitement de taille à briser l'iPhone si elle n'est pas rapidement corrigée : elle permettrait de prendre le contrôle total de l'appareil et de toutes ses fonctions à la simple visite d'une page web piégée.

La faille se situerait dans le navigateur web Safari embarqué par l'iPhone, une version limitée de celui qui fonctionne déjà sur les Mac. Impossible d'en savoir plus pour l'heure, l'équipe de chercheurs à l'origine de la découverte n'a encore révélé que peu de détails techniques. Leur découverte a toutefois été jugée digne de confiance par Steve Bellovin, ex AT&T Labs et gourou bien connu du petit monde de la sécurité.

Les chercheurs, eux, se contentent surtout de montrer ce que l'exploitation de leur vulnérabilité permet de réaliser. Et là, c'est l'hécatombe. Le téléphone passe entièrement sous le contrôle des pirates. Lors d'une présentation privée à un journaliste du New-York Times, les chercheurs ont ainsi pu récupérer ses SMS, son carnet d'adresse et ses contacts emails. Tous les fichiers contenus dans le téléphone deviennent de fait accessibles au pirate, qui peut les transférer à distance vers un serveur sous son contrôle.

Plus impressionnant encore, le code d'attaque des chercheurs aurait permis la prise de contrôle physique de l'appareil. Ils seraient ainsi parvenus à le faire appeler des numéros de leur choix, envoyer des SMS et même "écouter" les conversations autour de lui afin de les transmettre via le réseau. De telles attaques sont particulièrement recherchées par les pirates, notamment pour gagner de l'argent via des numéros surtaxés.

L'équipe n'a pas précisé si la vulnérabilité concerne toutes les versions de Safari ou seulement une partie d'entre elles (celle pour Windows - récemment frappé par une vulnérabilité équivalente -, ou celle pour les Mac Intel par exemple). Ce qui est certain, c'est qu'ils comptaient initialement annoncer une vulnérabilité pour Safari tout court, et qu'ils ont ensuite eu l'idée de vérifier si l'iPhone était lui aussi vulnérable.

Apple aurait été prévenu de cette vulnérabilité mais aurait répondu par l'habituel "Nous prenons la sécurité très au sérieux" qui ne fait, lui, pas très sérieux. Pourtant, selon l'équipe à l'origine de la découverte, des mesures de sécurité additionnelles pourraient être prises afin de limiter à l'avenir de telles attaques. Notamment, ils conseillent de ne pas faire fonctionner les programmes essentiels avec les droits de super-utilisateur, de recourir plus largement à des techniques de restriction des processus vis-à-vis du système de fichier (chroot), de protéger la mémoire (address randomization) et d'interdire l'exécution sur la pile. Dans l'ensemble, ils ne remettent pas tant en cause la sécurité de l'iPhone que le fait que cette dernière ne se base que sur une défense périmétrique et non en profondeur.

Leur découverte a cependant une conclusion amusante : les chercheurs avouent avoir tenté de casser l'iPhone sur leur temps libre après qu'un mécène ait promis de leur offrir un appareil s'ils y parvenaient !

• Le site de présentation de la vulnérabilité (en anglais)
• Le document initial des chercheurs (PDF, en anglais)