Concours CanSecWest : l'iPhone et le Mac ont été piratés
L'iPhone et le MacBook n'ont pas tenu bien longtemps face aux assauts des hackers dans le cadre du concours organisé par CanSecWest. Cependant, ils ne sont pas seuls : Firefox et Internet Explorer ont également cédé.
Organisé chaque année, ce concours propose à des hackers de prendre le contrôle de différentes machines sur Mac OS X, Windows et Linux à l'aide de Safari, Firefox, IE et Chrome. La grande nouveauté cette année : l'arrivée des terminaux mobiles dont l'iPhone.
Vincenzo Iozzo et Ralf Philipp Weinmann sont parvenus à récupérer en vingt secondes l'intégralité des SMS stockés sur l'iPhone, même ceux qui avaient été effacés. Pour prendre le contrôle du terminal d’Apple, ils ont mis au point une page web malicieuse capable d'exploiter une faille, leur permettant se faire passer pour l'utilisateur "Mobile" et d'avoir les mêmes privilèges que ce dernier. Ils peuvent donc faire tout ce que "Mobile" est autorisé de faire. Il suffit d'amener Safari vers la page en question et le tour est joué.
Le programme qu'ils ont écrit se "contente" d'envoyer les données de la base de données SMS vers un serveur distant. L'opération se déroule tandis que Safari fait mine de télécharger une page web. À la fin, l'iPhone plante. Toutefois, d'après eux, en peaufinant un peu le code, il est tout à fait possible d'effectuer la même opération "de manière totalement transparente pour l'utilisateur".
Ils précisent qu'ils se sont attaqués aux SMS, mais auraient tout aussi bien pu envoyer d'autres données comme les données stockées dans Mail, Carnet d'adresses ou encore l'application Photo.
Il a fallu deux semaines à Vincenzo Iozzo et Ralf Philipp Weinmann pour détecter la faille et écrire un programme l'exploitant. Les deux hommes vont repartir du concours avec 15 000 $ en poche et l'iPhone qui a servi de cobaye.
De son côté, Charlie Miller a réussi pour la troisième année de suite à hacker un MacBook, en exploitant une faille de Safari. Là encore, le navigateur d'Apple s'est fait piéger par une page malicieuse. Cette dernière lui permet d'avoir les pleins pouvoirs sur l'ordinateur en question via les commandes shell.
Les appareils d’Apple ne sont pas les seuls à avoir été piégés, un PC équipé de Windows 7 et d'Internet Explorer 8 n'a pas résisté aux assauts de Peter Vreugdenhil.
Précisons que tous les ordinateurs étaient à jour. D'autre part, les failles exploitées n'ont pas été entièrement révélées pour des raisons de sécurité. Elles seront dans un premier temps transmises aux sociétés concernées puis présentées en détail lorsqu'elles auront été corrigées.
[MAJ] Le couple Firefox/Windows 7 a lui aussi été pris en défaut.
Sur le même sujet :
- Interview : Apple et la sécurité
Organisé chaque année, ce concours propose à des hackers de prendre le contrôle de différentes machines sur Mac OS X, Windows et Linux à l'aide de Safari, Firefox, IE et Chrome. La grande nouveauté cette année : l'arrivée des terminaux mobiles dont l'iPhone.
Vincenzo Iozzo et Ralf Philipp Weinmann sont parvenus à récupérer en vingt secondes l'intégralité des SMS stockés sur l'iPhone, même ceux qui avaient été effacés. Pour prendre le contrôle du terminal d’Apple, ils ont mis au point une page web malicieuse capable d'exploiter une faille, leur permettant se faire passer pour l'utilisateur "Mobile" et d'avoir les mêmes privilèges que ce dernier. Ils peuvent donc faire tout ce que "Mobile" est autorisé de faire. Il suffit d'amener Safari vers la page en question et le tour est joué.
Le programme qu'ils ont écrit se "contente" d'envoyer les données de la base de données SMS vers un serveur distant. L'opération se déroule tandis que Safari fait mine de télécharger une page web. À la fin, l'iPhone plante. Toutefois, d'après eux, en peaufinant un peu le code, il est tout à fait possible d'effectuer la même opération "de manière totalement transparente pour l'utilisateur".
Ils précisent qu'ils se sont attaqués aux SMS, mais auraient tout aussi bien pu envoyer d'autres données comme les données stockées dans Mail, Carnet d'adresses ou encore l'application Photo.
Il a fallu deux semaines à Vincenzo Iozzo et Ralf Philipp Weinmann pour détecter la faille et écrire un programme l'exploitant. Les deux hommes vont repartir du concours avec 15 000 $ en poche et l'iPhone qui a servi de cobaye.
De son côté, Charlie Miller a réussi pour la troisième année de suite à hacker un MacBook, en exploitant une faille de Safari. Là encore, le navigateur d'Apple s'est fait piéger par une page malicieuse. Cette dernière lui permet d'avoir les pleins pouvoirs sur l'ordinateur en question via les commandes shell.
Les appareils d’Apple ne sont pas les seuls à avoir été piégés, un PC équipé de Windows 7 et d'Internet Explorer 8 n'a pas résisté aux assauts de Peter Vreugdenhil.
Précisons que tous les ordinateurs étaient à jour. D'autre part, les failles exploitées n'ont pas été entièrement révélées pour des raisons de sécurité. Elles seront dans un premier temps transmises aux sociétés concernées puis présentées en détail lorsqu'elles auront été corrigées.
[MAJ] Le couple Firefox/Windows 7 a lui aussi été pris en défaut.
Sur le même sujet :
- Interview : Apple et la sécurité
Cela a le mérite de montrer que le fait qu'Apple contrôle complètement la distribution de logiciels sur l'iPhone n'améliore pas ou peu la sécurité de cet appareil.
Mais il s'agit au contraire pour Apple de se faire une marge très confortable sur toutes les applications développées ainsi que de pouvoir éliminer de possibles concurrents...
Apple a bien su s'adapter à la mode des années 2000: faire perdre des libertés sous prétexte fallacieux de sécurité afin de toujours gagner plus d'argent et de contrôler ses utilisateurs...
@omega2 : si on avait rien trouvé sur windows c'aurait été trop curieux ce n'est pas une nouvelle de dire qu'il y a des failles sur windows. La conclusion que donne se concours c'est faite gaffe à l'iphone et le mac est aussi dangereux que windows.
xuyss> tu as peut être bien raison, mais je n'ai jamais été aussi "libre" avec un téléphone que depuis que j'utilise un iPhone.
Mon iTunes m'indique dans les 600 applications téléchargées, dont maximum 10 on dû être payées... Pour chaque usage, je peux trouver une ou plusieurs applications qui me vont. J'ai pas vraiment l'impression d'être sur un système "fermé" ou "verrouillé".
Ce concours est le marronnier du mois de mars. Chaque année, les mêmes hackers reviennent présenter le résultat de leurs travaux, et comme de juste ils démontrent des failles dans les différents système étudiés (sinon ils seraient restés chez eux à commander une pizza).
Parallèlement, on constate une éruption de trolls dans les news des sites d'info, pro ou anti-macs.
Questions : combien de failles exploitées sur Mac OS X ? Combien de Macs ont été transformés en zombies ? Combien d'ordinateurs Apple ont été pillés à distance ?
Soyez rassurés, je ne vous demanderais pas le décompte pour les PC-Windows.
Pour moi, l'important reste la sécurité de MES machines, la confidentialité de MES données.
Merci à ceux qui testent la sécurité du système que j'utilise quotidiennement. Tant mieux s'ils en tirent bénéfice et même une éphémère gloire.
Vivement la prochaine mise à jour de sécurité. D'ici-là, je redouble de vigilance.
P.S. : concernant la récupération les données du carnet d'adresse, Apple n'a malheureusement pas attendu sur ces gens. Souvenez-vous du lancement de MobilelMe. :D
pseudo714 > Je suis d'accord avec ça mais je n'irais pas en conclure pour autant que les hackers ont démontré une faille avec windows/IE juste pour que ça ne paraisse pas trop bizare et que s'ils avaient pu le faire sans être considéré comme des vendus ils n'auraient pas attaqué du tout windows pour ne pas se mettre microsoft à dos. A lire tes messages, on a l'impression que c'est justement ça que tu penses.
Les théories du complot ont encore de beaux jours devant elles. ;)
@omega2 non j'ai dis juste dans mes commentaires que j'ai l'impression qu'il y a surtout une focalisation sur les produits apple. Après je ne connais pas les raisons de cette focalisation si c'est le cas. Autre chose chrome n'a pas été attaqué. Est ce que les participants ne veulent pas de la récompense offerte ou est ce vraiment qu'ils n'ont rien trouvé comme failles? les autres os mobiles n'ont pas été attaqués aussi ou pas encore.
@Shenmue t'es pénible de traitter tout le monde de troll, et pourtant en l'occurence je suis d'accord avec toi, n'importe quel programme "tiers" peut être hacké, Firefox tout autant que les autres. L'important c'est qu'il comble les failles le plus vite possible.
PS: il est grand tant que tu apprennes un peu du nouveau vocabulaire.
J'y comprends rien, il faut prendre chrome alors ?
Ce sont des hakers gentils, les méchants eux ils ne disent rien et en tirent profit allez savoir comment des comptes iTunes ont été piratés, négligence des propriétaires ou données récupérées par une faille ?
@ dariolym
Je suis d'accord que si l'on tient compte des fonctionnalités inédites qu'apportent l'iPhone, il amène plus de libertés que de contraintes pour l'utilisateur.
Mais si par contre, on considère l'informatique dans son ensemble, le modèle de distribution des applications de l'iPhone est une perte de liberté par rapport à ce que l'on a avec les mac. Et le fait qu'Apple ait choisi ce modèle pour l'iPad montre qu'elle entend poursuivre dans cette voie, ce que je trouve regrettable...
«Le navigateur d'Apple s'est fait piéger par une page malicieuse. Cette dernière lui permet d'avoir les pleins pouvoirs sur l'ordinateur en question via les commandes shell.»
Comment ? On m'aurait menti à l'insu de mon plein gré !
Qu'aucun système ne soit sûr à 100%, je veux bien. Mais là, ça semble énorme.
Aie, aie, aie ça fait mal quand même. Mais bon, chapeau aux personnes qui ont réussi à mettre Safari, Firefox et IE 8 à terre !
En revanche, je trouve bizarre de ne pas préciser que dans le cas d'IE8 sous Windows 7, la faille en question ne donne pas un accès complet au système (éfficacité du sandboxing) contrairement à Safari 4 / OS X ! C'est surement un oublie... ;)
Messieurs de la Sécurité Informatique, au boulot !!!
Pages