Le chercheur en s\u00e9curit\u00e9 Charlie Miller a annonc\u00e9 la semaine derni\u00e8re avoir d\u00e9velopp\u00e9 et fait valider une application qui, derri\u00e8re un masque anodin d\u2019outil de suivi de la bourse, cachait la possibilit\u00e9 pour son cr\u00e9ateur de prendre le contr\u00f4le du terminal \u00e0 distance (en ex\u00e9cutant du code non sign\u00e9).<\/p>\n
Cette r\u00e9v\u00e9lation pose la question de la validation par Apple des applications pour son \u00e9cosyst\u00e8me iOS, r\u00e9put\u00e9e pointilleuse. Mais que doit-on r\u00e9ellement tirer de la nouvelle ? Faut-il s\u2019alarmer quant au manque de fiabilit\u00e9 du syst\u00e8me\u00a0?<\/p>\n
En r\u00e9alit\u00e9, il a toujours \u00e9t\u00e9 illusoire de penser qu\u2019Apple pouvait proc\u00e9der \u00e0 une revue syst\u00e9matique et en bonne et due forme du code de chaque application. Peu d\u2019informations filtrent sur le d\u00e9tail des v\u00e9rifications qui sont faites, mais les rejets sont g\u00e9n\u00e9ralement plut\u00f4t justifi\u00e9s par des d\u00e9fauts d\u2019ergonomie de l\u2019application, ou le fait que des API non autoris\u00e9es par Apple sont utilis\u00e9es.<\/p>\n
La grande nouveaut\u00e9 tient dans le fait que Miller ait r\u00e9ussi \u00e0 publier son application, qu\u2019elle soit rest\u00e9e disponible pendant plusieurs semaines, et qu\u2019elle le serait sans doute rest\u00e9e s\u2019il n\u2019avait lui-m\u00eame r\u00e9v\u00e9l\u00e9 le subterfuge. Il s\u2019agit plut\u00f4t d\u2019une confirmation qu\u2019un tel contournement des protections est possible, plut\u00f4t qu\u2019une d\u00e9couverte tout \u00e0 fait inattendue.<\/p>\n
Il faut donc temp\u00e9rer cette r\u00e9v\u00e9lation : la faille est loin d\u2019\u00eatre la premi\u00e8re sur le syst\u00e8me iOS et ne sera certainement pas la derni\u00e8re. Elle n\u2019est par ailleurs sans doute pas \u00e0 la port\u00e9e du premier d\u00e9veloppeur venu.<\/p>\n
L\u2019\u00e9cosyst\u00e8me d\u2019applications d\u2019Apple reste tout de m\u00eame relativement robuste d\u2019un point de vue de la s\u00e9curit\u00e9, m\u00eame si les applications ne font pas l\u2019objet de tests de s\u00e9curit\u00e9 pouss\u00e9s au cas par cas. Rappelons enfin que c\u2019est le m\u00eame Charlie Miller qui vantait r\u00e9cemment cette robustesse de l\u2019App Store, qu\u2019il comparait \u00e0 l\u2019Android Market, moins s\u00fbr selon lui (car plus ouvert).<\/p>\n
Beaucoup d\u2019observateurs s\u2019\u00e9tonnent que la r\u00e9action premi\u00e8re d\u2019Apple ait \u00e9t\u00e9 de bannir l\u2019application de son App Store et Miller de son programme pour d\u00e9veloppeurs. Il s\u2019agit pourtant l\u00e0 d\u2019une violation des r\u00e8gles d\u2019utilisation, et ce dernier savait certainement \u00e0 quelle sanction il s\u2019exposait.<\/p>\n
En tout \u00e9tat de cause, les attaquants souhaitant tirer parti d\u2019applications malveillantes n\u2019auront pas attendu la r\u00e9v\u00e9lation de cette faille pour tenter de les faire valider. Apple ne pourra dor\u00e9navant que redoubler d\u2019effort pour conserver un App Store sain\u2026<\/p>\n","protected":false},"excerpt":{"rendered":"
Le chercheur en s\u00e9curit\u00e9 Charlie Miller a annonc\u00e9 la semaine derni\u00e8re avoir d\u00e9velopp\u00e9 et fait valider une application qui, derri\u00e8re un masque anodin d\u2019outil de suivi de la bourse, cachait la possibilit\u00e9 pour son cr\u00e9ateur de prendre le contr\u00f4le du…<\/p>\n","protected":false},"author":13,"featured_media":6343,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"page-templates\/tmpl-one.php","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[36,3225],"tags":[3319,204],"coauthors":[801],"class_list":["post-903","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurity-digital-trust","category-ethical-hacking-indicent-response","tag-audit-pentesting","tag-faille"],"acf":[],"yoast_head":"\n