Ouvrir le menu principal

MacGeneration

Recherche

Pwn2Own 2011 : Apple, victime de son succès ?

Christophe Laporte

lundi 14 mars 2011 à 15:43 • 39

AAPL

Pendant trois jours, les hackers et chercheurs en sécurité se sont succédé pour faire tomber les principaux navigateurs web du marché sur les principaux ordinateurs et smartphones. Le bilan n'est pas flatteur pour Apple à première vue : Safari sur Mac est tombé dès le premier jour et Safari Mobile a connu les mêmes déboires le lendemain..



En ce qui concerne Safari pour Mac, c'est une société française, Vupen Security, qui est parvenu à exploiter en premier une faille inconnue de Webkit et a raflé la mise et empoché au passage 15 000 $ ainsi qu'un MacBook Air. En conduisant l'utilisateur sur un site spécifique elle a réussi à déclencher en retour et, sans autre intervention de la personne, à lancer l'utilitaire Calculette et à écrire un fichier sur le disque dur de la machine. Le tout sans faire planter Safari. Entre dénicher la faille et se doter des moyens de l'utiliser, il a fallu une quinzaine de jours à l'équipe de Chaouki Bekrar pour parvenir à ses fins (lire : CanSecWest : Safari tombe sur une faille de sécurité WebKit).

De leur côté, Charlie Miller et Dion Blazakis ont réussi à exploiter une faille présente dans Safari Mobile. Les deux chercheurs sont parvenus à récupérer des données stockées sur un iPhone 4, sans que cela ne nécessite d'interaction (ou peu) de la part du propriétaire du téléphone (lire : Pwn2Own 2011 : l'iPhone et un BlackBerry sont tombés).

Mais de l'aveu même de Charlie Miller, cela a été plus compliqué que les autres années. Il a fallu aux deux chercheurs des mois de travail et le hack ne fut finalisé qu'à la veille du concours, alors que durant les années précédentes, Miller avait préparé son coup longtemps à l'avance. De là à dire que tant bien que mal, Apple progresse sur le front de la sécurité, il n'y a qu'un pas.

Il peut d'ailleurs remercier Apple d'avoir proposé au téléchargement iOS 4.3 si tardivement. En effet, la dernière version du système d'Apple apporte la distribution aléatoire de l'espace d'adressage, un mécanisme visant à renforcer la sécurité des terminaux d'Apple. Si ce mécanisme n'annihile pas la faille, il complique sérieusement sa mise en oeuvre selon Charlie Miller.

Le solutions d'Apple ne sont pas les seules à avoir été prises à défaut, Internet Explorer 8 et Blackberry Torch 9800 ont également cédé aux assauts des chercheurs en sécurité. Chrome, Firefox, et les téléphones sous Android et Windows Mobile sortent indemnes de ce concours, mais on peut se demander si les personnes participant à ce concours ne se sont pas dirigées vers les solutions les plus en vue afin de se faire remarquer. En effet, durant ces trois jours, personne n'a essayé de s'attaquer à ces trois systèmes. Les personnes qui avaient prévu de les mettre à l'épreuve se sont désistées pour différentes raisons. De là à dire que les chercheurs en sécurité tout comme les auteurs de virus et autres malwares sélectionnent leurs plates-formes…

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Numéro 1 de l’App Store, cette app de kayak cache en fait un service de streaming illégal

08/02/2025 à 11:09

• 74


Notre avis sur Deblock, la néobanque qui réunit un compte courant et un portefeuille crypto

08/02/2025 à 11:09

• 12


Sortie de veille : une app porno sur iPhone, un véritable scandale ?

08/02/2025 à 08:00

• 31


Magazine des 25 ans : plus que quelques jours pour précommander votre exemplaire

07/02/2025 à 22:30

• 24


Le parquet de Paris ouvre une enquête sur X pour manipulation d’algorithme

07/02/2025 à 22:00

• 83


Un ex-ingénieur d’Apple viré pour avoir divulgué des projets en cours fait des excuses publiques

07/02/2025 à 21:00

• 21


Un des développeurs d'Asahi Linux abandonne son travail sur le noyau Linux à cause d'une querelle d'ego

07/02/2025 à 20:00

• 11


Sauvegarde iCloud : le gouvernement britannique aurait demandé à Apple de briser son chiffrement de bout en bout

07/02/2025 à 18:05

• 96


La justice demande le blocage de plusieurs convertisseurs YouTube vers MP3

07/02/2025 à 18:00

• 45


Le Mac App Store ne fonctionne plus sur certaines vieilles versions de macOS

07/02/2025 à 16:15

• 33


Wacom prévoit de nouvelles Intuos Pro pour février 2025

07/02/2025 à 14:00

• 4


Une mise à jour de la RAM d'un autoradio pour éviter des plantages de CarPlay

07/02/2025 à 12:30

• 27


Promo : le MacBook Air M2 démarre à seulement 799 € 🆕

07/02/2025 à 12:08

• 37


LibreOffice 25.2 ajoute un Coup d’œil à ses documents sur Mac

07/02/2025 à 10:52

• 30


Travaillez de chez vous en toute sécurité grâce à Express VPN + un cadeau offert 📍

07/02/2025 à 10:14


Le nouvel iPhone SE 4 pourrait arriver la semaine prochaine

07/02/2025 à 09:23

• 55