Si Apple veut imposer l’iPhone dans le monde de l’entreprise, la firme de Cupertino devra revoir à deux fois ses politiques de sécurité. Notamment au niveau de l’accès des données du smartphone.
L’expert en sécurité Bernd Marienfeldt, qui officie au LINX (London Internet Exchange), vient d’en faire l’expérience. Le 17 mai dernier, il a découvert une faille de sécurité de taille. En connectant son iPhone sur un poste sous le récent Ubuntu 10.04 (Lucid Lynx), il a constaté qu’il avait accès, en clair, à la plupart des contenus stockés sur le smartphone. Ni le code de protection, ni le (trop léger) système de chiffrement n’ont résisté à la simple lecture des données par le système Linux.
Une procédure qu’il a reproduite avec le même succès sur trois autres iPhone 3G et 3GS, non jail breaké, et protégé par un code d’accès. « Ce qui signifie que la vulnérabilité contourne l’authentification pour l’accès aux diverses données alors que les utilisateurs sont susceptibles de compter sur la protection des données grâce au chiffrement et ne s’attendent pas que l’authentification ne soit pas fonctionnelle, écrit-il dans son billet. Plus clairement, l’accès permet de lire et écrire [sur l’iPhone]! » Pas rassurant. D’autant que la perte ou le vol de téléphones portables est monnaie courante.
Bernd Mariendfeldt ne précise pas s’il a reproduit son expérience avec d’autres distributions Linux. En revanche, il a bien évidemment informé Apple de ce problème. Mais la firme de Steve Jobs ne propose à ce jour aucun correctif et n’a pas indiqué quand elle compterait le faire. Il faut dire qu’avec moins de 1% de part de marché des OS desktop, Linux ne doit pas constituer un réel danger aux yeux de Cupertino (d’autant qu’iTunes, le logiciel de synchronisation, n’est proposé que pour Mac OS et Windows). Au pire, cette vulnérabilité participe, indirectement, au succès du dernier né de la distribution Linux d’Ubuntu… Souhaitons que la très attendue version 4 de l’iPhone n’envoie ce problème au cimetière des failles de sécurité.
Respectivement DG et CTO de Red Hat France, Rémy Mandon et David Szegedi évoquent le…
Canonical formalise un service de conception de conteneurs minimalistes et y associe des engagements de…
L'Autorité de la concurrence s'apprêterait à inculper NVIDIA pour des pratiques anticoncurrentielles sur le marché…
Le CERT-FR revient sur les failles dans équipements de sécurité présents notamment en bordure de…
Mistral AI formalise ses travaux communs avec l'entreprise finlandaise Silo AI, qui publie elle aussi…
La présidente de Numeum, Véronique Torner, revient sur la genèse de la tribune du collectif…