Concours CanSecWest : l'iPhone et le Mac ont été piratés

Christophe Laporte |
L'iPhone et le MacBook n'ont pas tenu bien longtemps face aux assauts des hackers dans le cadre du concours organisé par CanSecWest. Cependant, ils ne sont pas seuls : Firefox et Internet Explorer ont également cédé.

Organisé chaque année, ce concours propose à des hackers de prendre le contrôle de différentes machines sur Mac OS X, Windows et Linux à l'aide de Safari, Firefox, IE et Chrome. La grande nouveauté cette année : l'arrivée des terminaux mobiles dont l'iPhone.

Vincenzo Iozzo et Ralf Philipp Weinmann sont parvenus à récupérer en vingt secondes l'intégralité des SMS stockés sur l'iPhone, même ceux qui avaient été effacés. Pour prendre le contrôle du terminal d’Apple, ils ont mis au point une page web malicieuse capable d'exploiter une faille, leur permettant se faire passer pour l'utilisateur "Mobile" et d'avoir les mêmes privilèges que ce dernier. Ils peuvent donc faire tout ce que "Mobile" est autorisé de faire. Il suffit d'amener Safari vers la page en question et le tour est joué.

Le programme qu'ils ont écrit se "contente" d'envoyer les données de la base de données SMS vers un serveur distant. L'opération se déroule tandis que Safari fait mine de télécharger une page web. À la fin, l'iPhone plante. Toutefois, d'après eux, en peaufinant un peu le code, il est tout à fait possible d'effectuer la même opération "de manière totalement transparente pour l'utilisateur".

Ils précisent qu'ils se sont attaqués aux SMS, mais auraient tout aussi bien pu envoyer d'autres données comme les données stockées dans Mail, Carnet d'adresses ou encore l'application Photo.



Il a fallu deux semaines à Vincenzo Iozzo et Ralf Philipp Weinmann pour détecter la faille et écrire un programme l'exploitant. Les deux hommes vont repartir du concours avec 15 000 $ en poche et l'iPhone qui a servi de cobaye.

De son côté, Charlie Miller a réussi pour la troisième année de suite à hacker un MacBook, en exploitant une faille de Safari. Là encore, le navigateur d'Apple s'est fait piéger par une page malicieuse. Cette dernière lui permet d'avoir les pleins pouvoirs sur l'ordinateur en question via les commandes shell.

Les appareils d’Apple ne sont pas les seuls à avoir été piégés, un PC équipé de Windows 7 et d'Internet Explorer 8 n'a pas résisté aux assauts de Peter Vreugdenhil.

Précisons que tous les ordinateurs étaient à jour. D'autre part, les failles exploitées n'ont pas été entièrement révélées pour des raisons de sécurité. Elles seront dans un premier temps transmises aux sociétés concernées puis présentées en détail lorsqu'elles auront été corrigées.

[MAJ] Le couple Firefox/Windows 7 a lui aussi été pris en défaut.

Sur le même sujet :
- Interview : Apple et la sécurité

Tags
avatar the_one | 

Faut-il une utilisation physique de la machine ? Ou tout ceci peut s'effectuer à distance ?

avatar Marteaub | 

C'est la question que je me posais. Une page web malicieuse, ça veut dire que l'utilisateur doit aller sur cette page pour que la faille soit exploitée et les données transmises ? C'est bien ça ?

avatar Christophe Laporte | 

oui dans les deux cas, c'est comme ça. Un lien foireux envoyé par mail, vous l'ouvrez et boom !

avatar L-J | 

@the_one Il faut que l'utilisateur de la machine se rende sur une page web spécialement conçue.

avatar ispeed | 

3 jeunes boutonneux pour faire ça en 20 secondes. Bravo Apple number one pour la sécurité on devrait leur donner la médaille d'or

avatar Oliange | 

Cliquer sur un lien dans un mail.. ce que font les gens sous Win et qui se retrouvent avec pleins de joyeusetés sur leur ordinateur..
Il a toujours été dit d'être vigilant mais certains ont le clic compulsif :o

avatar Nyk-0 | 

Ca fait quand même bien flipper, parce que des mecs qui font ça en quelques 2 semaines, et une paire de secondes une fois le programme exécuté... bon quand est ce qu'Apple autorise firefox sur Iphone ? :)

avatar divoli | 

Et Opera Mini pour iPhone OS, ça en est où ?

avatar Matcha | 

bah l’année dernière Firefox c’est aussi fait hacké, je ne crois pas aux miracles.
Quand aux « 20 secondes » c’est de la nourriture à troll ça ! Ils n’ont pas eu 20 secondes, ni même 2 semaines, mais bien (au moins) 1 an ! Ça n’excuse en rien Apple ni les autres.
Je soupçonne le gars Miller de se garder quelques failles au chaud, en vérifiant à chaque fois qu’elle ne sont pas corrigées pour les ressortir l’année suivante et s’assurer du prix !

avatar Victorum | 

Enfin, faut relativiser. Il est tout a fait normal que iPhone OS ait des bugs/failles comme tout firmware et tout OS. De plus, les types ont pu tout preparer pendant des mois, donc faut arrêter les réponses du genre: "Apple c'est de la merde, ils ont été hackés en 20 secondes"...
Ensuite, pour que le 'hack' en question ait lieu, il faut que la personne en question aille sur la page ou clique sur un lien renvoyant par la page, ce qui limite les possibilités d'interaction.
Pour finir, le 'hack' en question est tout gentillet, puisqu'il ne fait qu'envoyer vos SMS. Aucune prise de main sur l'iPhone a distance n'est en question (ni jailbreak, ni perte du contrôle).

avatar the_one | 

@ L-J : merci de la précision

avatar shenmue | 

C'est bien joli tout ça, mais dans les faits et le réel, les attaques par ce type de manœuvre sur iPhone, c'est nada. Et idem pour le mac.
Alors que sur windows, sans un bon verrou, t'es mort.
Et puis ils ont passés 2 semaines dessus. Deux semaines sur le prochain Opera pour iPhone et ce sera le même topo. Ce n'est pas parce que vous ne vous intéressez pas à votre voisin qu'il n'existe pas.

avatar shenmue | 

@Nyk-0:"bon quand est ce qu'Apple autorise firefox sur Iphone ? :)"

Firefox aussi s'est fait hacker. Le fait de laisser entendre que ce serait plus les logiciels Apple qui sont concernés est du troll en l'occurrence. Ni Opera, ni Firefox ne mettront à l'abris.
Ce qui importe, c'est que les failles soient réparées le plus vite possible après leur mise à jour.

avatar vintz72 | 

Et bien moi j'arrive très facilement à faire planter mon iPod Touch ! Je lance une partie de Dungeon Hunter, et hop, dans une certain niveau, ça plante !

(pas content de ne pas pouvoir finir mon jeu !)

avatar Rudj | 

Bravo aux Hackers.
Ce qui est sur c'est que leur cerveau n'a rien à voir avec le notre :-(
Maintenant ces concours permettent de faire progresser la recherche et leur assure un bon poste dans l'une des sociétés présentes. Le contenu de mon Mac est économiquement peu intéressant ;-)

avatar Spark54000 | 

N'y a-t-il pas justement un risque que beaucoup utilisateurs MAC, qui achètent justement ces machines pour leur simplicité et leur sécurité, cliquent sur n'importe quoi ?
Du style "m'en fou! Sur MAC y'a pas de virus...j'risque rien!"

avatar Almux | 

En gras et taille normale: "[b]iPhone et Mac ont été hacker![/b]"
En ultra light et écrit tout petit: " PC sous windows 7 et EI 8... aussi..."

:lol:

avatar kubernan | 

[b]l'intégralité des SMS stockés sur l'iPhone, même ceux qui avaient été effacés.[/b]

C'est ça que je trouve bizarre dans cette histoire.

[b]Ainsi donc quand je supprime des SMS dans mon iPhone, ils ne sont pas réellement supprimés ???!!!! Il y a quelque chose qui ne va pas là.[b]

avatar HAL-9000 | 

Shenmue si t'es venu parler Windows tu vas ailleurs stp, ici c'est Mac, et UNIQUEMENT Mac !

Sinon l'histoire de Jailbreak iPhone = Failles de sécurité bahhh pas besoin de ça apparemment... Quand les gens comprendrons qu'aucun système n'est safe à 100% on aura fait un sacré bon en avant...

avatar MistakenMobius | 

[quote]puisqu'il ne fait qu'envoyer vos SMS[/quote]

Reading comprehension FTL

[quote]Ils précisent qu'ils se sont attaqués aux SMS, mais auraient tout aussi bien pu envoyer d'autres données comme les données stockées dans Mail, Carnet d'adresses ou encore l'application Photo.
[/quote]

avatar Matcha | 

@HAL-9000 [25/03/2010 09:24]
Shenmue si t'es venu parler Windows tu vas ailleurs stp, ici c'est Mac, et UNIQUEMENT Mac !

Ben doublement désolé mon gars : et d’une ce n’est pas toi qui fixe la ligne éditoriale de ce site, et de deux, c’est dans l’article (si tu l’as lu), d’ailleurs il est même fait *aussi* mention de Linux… En plus on parle *aussi* (surtout) d’iPhone (qui n’est pas un Mac, tu le sais bien :D)

Oh mais cela voudrait-il dire que la communauté Mac n’est pas si fermée qu’on veut bien nous le laisser croire ? Bouh la méchante secte !

avatar Eaglelouk (non vérifié) | 

Il me semble qu'il faut encore et toujours un accès physique à la machine..

avatar hok | 

Franchement qu'est ce que Apple a foutu de mettre le navigateur dans le même utilisateur que les données personnelles. C'est une erreur de conception.

avatar jodido | 

@kubernan
oui si tu navigues sur ton iPhone avec iPhone explorer par exemple il est possible d'extraire le sms.db et de voir à l'intérieur certains anciens sms effacés mais pas tous, j'ai pas réussit à comprendre la logique de ceux supprimés à jamais ou non.
mais bon il est où le problème c'est pas à la portée de tous d'obtenir de telles informations

avatar DM75 | 

@HAL-9000

Je suis comme toi, je suis lassé qu'un site qui s'appelle "MACgeneration" parle autant de Windows.... Des pubs pour Windows 7 s'affichent sur la home par exemple et ça... ça "choque" pour un site Mac. Bref, dans ces conditions, il est "normal" que de TRES nombreux posts parlent de ce qui n'a rien à voir avec ce qui est Mac sur un site sensé être Mac...

La ligne éditoriale semble être... Et bien, il n'y en a pas mis à part éviter les soucis liés à la diffamation, aux propos agressifs, etc.

A décharge, macgeneration n'est pas le seul dans ce cas et c'est aussi cela qui "marque" lorsque l'on aime le Mac...

avatar hogs | 

Ce qui me chagrine le plus, c'est que l'utilisateur Apple n'a jamais été éduqué à faire gaffe au social engineering autre que le phishing (récolte de mot de passe / login / coordonnées bancaires ou autres) tant le discours sécuritaire est martelé avec Apple.

Une exploitation de ce type de faille ferait des dégats...
Imaginez un botnet de smartphone capable de "descendre" le réseau 3G d'un opérateur ...

avatar davitron | 

[quote=matcha]Je soupçonne le gars Miller de se garder quelques failles au chaud[/quote]
Bonne remarque.
La faille n'était visiblement pas connue ni exploitée et donc pas susceptible d'être corrigée.
Ceux qui l'ont découverte avaient intérêt à se la garder au chaud. Une fois révélée (à Apple), elle sera vite corrigée. Pour 15.000$, ça vaut le coup d'y passer à sacrer nombre d'heures à éplucher le code source de Webkit...
La faille est-elle d'ailleurs dans WebKit ? Si oui, est-elle susceptible d'être exploitée sur d'autres plateformes ? Voilà des infos qui seraient intéressantes...

Il me semble qu'il y a une erreur dans la news:
[quote]Cette dernière lui permet d'avoir les pleins pouvoirs sur l'ordinateur en question via les commandes shell[/quote]
Je pense que les pleins pouvoirs se limitent à ceux de l'utilisateur du MacBook qui ouvre la page. Ca m'étonnerait qu'ils aient pu exploiter une faille qui permettent "d'escalader" en root (en reste-t-il encore ?).

avatar Oracle | 

S'intéresser au mac et a l'iPhone veut-il dire passer sous silence tout ce qui concerne la concurrence ? C'est tellement nombriliste !

Ouvrez les yeux mes bons cocos, si la news n'avait porté que surlendemain mac et l'iPhone une floppée de lecteurs se serait empressé de s'insurger qu'on a tenté de passer sous silence les échecs des concurrents...

avatar Moonwalker | 

La faille exploitée en premier est encore et toujours l'utilisateur et sa crédulité.

Il n'empêche, ça fait quand même réfléchir tous ces trucs distants au moment où on essaye de nous vendre du Cloud-computing jusque dans l'OS...

avatar Florian Innocente | 

@ kubernan "Ainsi donc quand je supprime des SMS dans mon iPhone, ils ne sont pas réellement supprimés ???!!!! Il y a quelque chose qui ne va pas là."

Quand tu effaces un fichier de ton Mac il n'était pas réduit à l'état de cendres, sauf à utiliser les vidages de corbeilles sécurisés et autres formatages bas niveau du disque. Il doit en aller pareillement sur l'iPhone. C'est probablement pour ça aussi que la suppression à distance de son contenu, en cas de vol, prend des plombes.

avatar DM75 | 

@Oracle

Je ne parlais pas QUE de cette news, mais de l'ensemble du site. Le positionnement conceptuel a été apparemment revu en cours de route. Le titre du site (et son nom de domaine) devrait être revu, car ça ne "colle" plus du tout. C'est comme si un site WindowsMagazine (au hasard) parlait en grande partie du Mac...

avatar bigham | 

@ innocente

Ce n'est pas le même scénario. Quand tu effaces un fichier (sans utiliser les vidages sécurisés) sur Mac, le fichier n'est plus visible dans la hiérarchie des fichiers; aucun programme normalement constitué ne peut y avoir accès (sauf les logiciels qui font de la récupération of course).

Ca ressemble plus à un problème de ce genre : http://rixstep.com/2/4/20081206,00.shtml

avatar chris78 | 

En dehors de mon OS est meilleur que le tien, je connais peu de gens qui cliquent sur un lien inconnu sans se poser de questions. Le reste... nul OS n'est parfait. Ce n'est qu'une question de temps pour trouver une faille plus ou moins exploitable.

avatar DM75 | 

NB : je suis un peu excessif, mais vous voyez l'idée...

avatar divoli | 

@ matcha;

Non, ce n'est pas de la nourriture à troll. Cela veut dire qu'il suffit de 20 secondes pour récupérer les données en profitant de cette faille. Que ces deux personnes aient mis 2 jours, 2 semaines, ou 2 mois pour la repérer n'a pas d'importance, à partir du moment où elle est connue et exploitée tu te fais pirater en 20 secondes.

avatar hok | 

Si des SMS apparaissent encore c'est du au fonctionnement des base de données, je suppose que c'est SQLite, d'après la doc : http://www.sqlite.org/faq.html#q12 il faut faire la commande vacuum pour que physiquement les données ne soient plus la, sinon les données ont juste un flag effacé et n'apparaissent plus dans les requêtes mais sont tjr la. Donc en téléchargement la base et en l'analysant et la modifiant les données sont encore présente

avatar hok | 

Franchement la vrai nouvelle c'est d'avoir fait tomber IE8 même avec une sandbox, un aslr et le DEP. Quand je pense qu'on disait que le aslr de SL ne sert à rien...

avatar XiliX | 

@iSpeed

Ce ne sont pas des jeunes boutonneux comme tu dis. Ce sont des noms bien connus dans le milieu...

avatar DM75 | 

@XiliX

Exact.

avatar misterbrown | 

Et qu est ce qu on disait a propos de Flash il n y a pas longtemps? C etait le talon d'Achille du mac.. ?

Faut regarder Safari maintenant.

avatar xavier25 | 

@ DM75

Je ne trouve pas que MacG parle plus de Windows ou autre que de Mac. Faut pas dire n'importe quoi non plus. Et lorsque MacG parle de Windows, c'est toujours dans un souci de comparaison avec notre plate-forme. L'informatique ce n'est pas que Apple et perso je ne lis que les sites mac donc c'est bien aussi que MacG nous parle de ce qui existe ailleurs. Le positionnement que je trouve plus délicat est celui de iGeneration qui reste flou. On ne sait pas si ça couvre les appareils mobiles, les appareils Apple hors Mac ou les appareils high tech toutes marques... Du coup on ne sait jamais trop à quelle news s'attendre et pour les 3 domaines ci-dessus, il y a des sites plus spécialisés.

avatar kubernan | 

@innocente : [i]Quand tu effaces un fichier de ton Mac il n'était pas réduit à l'état de cendres...[/i]

Oui je suis au courant mais je pense qu'ici ça n'a rien à voir. À ce que j'ai compris, les sms supposés supprimés sont encore en clairs dans la base de données.

Quand je développe une application en coredata et que je veux vérifier si mes suppressions se passent bien, je peux constater par un dump que les données supprimées ne sont effectivement plus présentes.

Ca me titille cette histoire... La question est : par quels moyens ont-ils pu récupérer des SMS normalement supprimés : par un programme spécial qui va chercher dans les tréfonds du système de fichier ? ou en lisant tout simplement le contenu de la base de données des sms. Dans ce dernier cas, il y a un réel problème.

avatar kubernan | 

@HAL-9000 [i]Shenmue si t'es venu parler Windows tu vas ailleurs stp, ici c'est Mac, et UNIQUEMENT Mac ![/i]

En même temps, MacGé c'est pas non plus le fanzine du lycée du coin.

avatar spleen | 

Apple n'est pas plus sécurisé que les autres plate-formes.
Quel scoop.....
Et ça valait vraiment un article et 3 pages de commentaires ??

avatar Sn0wball | 

Il y a juste un truc que je voudrais savoir, je sais que l'année dernière lorsqu'un hacker réussissait l'exploit de passer la sécurité il reparté avec l'ordinateur hacker en plus de la prime.
Est ce le cas cette année?

Car personnellement quitte a hacké un OS, je préfère tenter de récupérer un macbook air qu'un Fujitsu...(c'été les ordinateurs de l'année dernière)

Alors sans vouloir remettre en cause la performance d'un OS ou d'un autre, partons d'un vrai pieds d'égalité?
Idem pour les téléphone si tu repart avec un Iphone ou un HTC/nexus One/BB c'est pas pareil!

PS : Je sais que la prime est déjà sympathique, mais l'appât du gain me parait plus sympathique coté apple

avatar dariolym | 

Moi, je supprime Safari de OSX, comme ça, plus de failles de Safari, plus de risque de me faire pirater par ce biais.
Par contre, avec IE8 sous Windows je peux pas, je sais pas le désinstaller... dommage :(

Concernant les failles qui sont "gardées au chaud", ça peut paraître logique, même si c'est pas très philanthropique...

Sinon, quid du résultat de Linux? Doit on comprendre qu'il n'a pas été piraté encore? Ou alors le "prestige" et l'appât du gain sont moins grands sur cette plateforme?

avatar omega2 | 

Quand on pense que n'importe quel programme iphone peut faire ouvrir une page web par safari, on peut craindre le pire : "Elle est pas chouet la démo de ce jeux? Pour la version complète cliquez ici". (et boom, iphone piraté)

avatar pseudo714 | 

J'ai l'impression que ces hackers se soucient que des produits apple. Ce concours ne devrait pas accepter un sponsoring de microsoft ou de sociétés qui pourraient être concernées il y a un conflit d'intérêt.

avatar paisley | 

Pour relativiser cette opération :
[Il a fallu deux semaines à Vincenzo Iozzo et Ralf Philipp Weinmann pour détecter la faille et écrire un programme l'exploitant.]

Cette information est suffisante pour moi en terme de sécurité... comme le 100% est impossible, ce temps pour faire la détection et écrire le programme malicieux me réconforte... entre temps comme la faille n'est pas publiée Apple et Windows pourront travailler sur les différentes failles et améliorer leur OS.

avatar omega2 | 

pseudo714 > Et c'est pour ça que les navigateurs concurrents n'ont pas résisté y compris IE et y compris firefox sous seven?
Moi j'ai l'impression que même si microsoft sponsorise l'évènement, ça n'empêche pas les hacker de s'attaquer à windows et IE.

Pages

CONNEXION UTILISATEUR