Le procédé utilisé par JailbreakMe pour déplomber l’iPhone a mis à jour une faille sérieuse dans la prise en charge des PDF dans Safari. Apple a lancé une enquête.
Coup dur pour Apple. Alors que les dernières évolutions d’iOS4 améliorent considérablement la sécurité de l’iPhone, la découverte d’une faille sérieuse dans le terminal font ressurgir les doutes.
L’histoire débute avec la mise en ligne de JailbreakMe, le nouvel outil de déblocage de l’iPhone utilisable simplement à partir du navigateur. Des experts en sécurité s’aperçoivent assez vite que l’outil exploite en fait une faille dans Safari Mobile, le navigateur du smartphone.
Prise de contrôle
Cette faille permet d’exécuter automatiquement un PDF à l’insu de l’utilisateur, méthode utilisée par JailbreakMe. L’éditeur de sécurité Vupen confirme la vulnérabilité et précise que des pirates pourraient l’exploiter pour infecter le terminal à travers un PDF piégé.
Concrètement, en téléchargeant à partir d’un site Web un fichier PDF corrompu dissimulant un programme spécial, ce dernier prend le contrôle de l’appareil. Il est alors capable notamment d’effacer des fichiers, transmettre des données et installer des programmes qui fonctionnant en tâche de fond permettent d’enregistrer les agissements de l’iPhonaute.
L’affaire est suffisamment grave pour inquiéter Apple qui a officiellement lancé une enquête. Une mise à jour d’iOS devrait donc être prochainement mise en ligne.
En attendant, le meilleur conseil est de ne pas consulter des PDF à partir de sites Web douteux.
Affaire à Suivre …
Jeu de briques
Snake
Pacman
Bubble