L'iPhone victime d'un gros trou de sécurité
Si Apple veut imposer l'iPhone dans le monde de l'entreprise, la firme de Cupertino devra revoir à deux fois ses politiques de sécurité. Notamment au niveau de l'accès des données du smartphone.
L'expert en sécurité Bernd Marienfeldt, qui officie au LINX (London Internet Exchange), vient d'en faire l'expérience. Le 17 mai dernier, il a découvert une faille de sécurité de taille. En connectant son iPhone sur un poste sous le récent Ubuntu 10.04 (Lucid Lynx), il a constaté qu'il avait accès, en clair, à la plupart des contenus stockés sur le smartphone. Ni le code de protection, ni le (trop léger) système de chiffrement n'ont résisté à la simple lecture des données par le système Linux.
Une procédure qu'il a reproduite avec le même succès sur trois autres iPhone 3G et 3GS, non jail breaké, et protégé par un code d'accès. « Ce qui signifie que la vulnérabilité contourne l'authentification pour l'accès aux diverses données alors que les utilisateurs sont susceptibles de compter sur la protection des données grâce au chiffrement et ne s'attendent pas que l'authentification ne soit pas fonctionnelle, écrit-il dans son billet. Plus clairement, l'accès permet de lire et écrire [sur l'iPhone]! » Pas rassurant. D'autant que la perte ou le vol de téléphones portables est monnaie courante.
Bernd Mariendfeldt ne précise pas s'il a reproduit son expérience avec d'autres distributions Linux. En revanche, il a bien évidemment informé Apple de ce problème. Mais la firme de Steve Jobs ne propose à ce jour aucun correctif et n'a pas indiqué quand elle compterait le faire. Il faut dire qu'avec moins de 1% de part de marché des OS desktop, Linux ne doit pas constituer un réel danger aux yeux de Cupertino (d'autant qu'iTunes, le logiciel de synchronisation, n'est proposé que pour Mac OS et Windows). Au pire, cette vulnérabilité participe, indirectement, au succès du dernier né de la distribution Linux d'Ubuntu. Souhaitons que la très attendue version 4 de l'iPhone n'envoie ce problème au cimetière des failles de sécurité.
Sur le même thème
Voir tous les articles Cybersécurité