Après quelques découvertes de moindre acabit, une première vraie faille de sécurité vient d'être mise à jour dans le système de l'iPhone d'Apple. Cette vulnérabilité qui concerne le navigateur Safari est de type buffer overflow (dépassement de mémoire tampon), une méthode qui consiste à saturer la mémoire de l'appareil pour ouvrir un accès à des zones normalement verrouillées de l'appareil. Aujourd'hui, le seul programme qui permet de l'exploiter est de type proof of concept : il ne commet aucun dommage et ne sert qu'à prouver l'existence de la faille.
Un pirate n'aurait qu'à placer un pan de code dans une page Web, puis y attirer les possesseurs d'iPhone pour parvenir à les piéger. Le simple fait de naviguer sur la mauvaise page compromettrait donc la sécurité de l'appareil et des données qu'il contient. Ce code est en effet capable de récupérer les informations personnelles de l'utilisateur, comme sa liste de contacts ou les messages qu'il a reçus, pour les expédier à son auteur. En théorie, on pourrait concevoir des programmes également capables de voler les identifiants de messagerie, de bloquer l'appareil ou de lancer des appels.
Cette faille, qui fait l'objet d'un document de 7 pages (PDF), sera présentée en détails le 2 août prochain, à l'occasion de la conférence Black Hat. En attendant, les chercheurs qui en sont à l'origine ont réservé la primeur de leurs découvertes à Apple, de façon à ce que la firme puisse réagir et par exemple fournir un correctif avant qu'elle ne soit rendue publique.
Faut-il s'alarmer, et conclure que la sécurité de l'iPhone tout entier est à revoir ?
Interviewés par le New York Times, ces chercheurs indiquent qu'il est absolument normal que l'appareil présente des failles, dans la mesure où sa conception se rapproche de plus en plus de celle d'un ordinateur, mais ils soulignent dans la conclusion de leur présentation qu'Apple a commis certaines erreurs de conception, la plupart des processus actifs sur la machine disposant des privilèges administrateurs et donnant un accès complet à la machine.
