L'iPhone agite la communauté des experts en sécurité

Les heureux possesseurs du tout nouveau et médiatique iPhone doivent-ils déjà commencer à regarder leur coûteux achat avec anxiété ? Probablement est-ce prématuré, surtout pour les Européens à qui le combiné n'est pas encore proposé.

Nos voisins outre-Atlantique, et même quelques hackers du vieux continent, profitent en revanche déjà allégrement de l'émulation autour de l'iPhone et le passent au crible, cherchant à débusquer failles de sécurité et modes de hacking. Apple aura vraisemblablement fort à faire dans les semaines à venir, et pas uniquement à passer en revue ses chiffres de marge.

Un individu malintentionné pourrait ainsi, à l'insu de l'utilisateur, contraindre l'appareil à composer des numéros surtaxés. Ce type d'attaque n'est toutefois pas spécifique à l'appareil d'Apple. Des virus sur mobile, encore bien rares, tels COmmWarrior, RedBrowser ou Crossover, ciblent déjà les systèmes Symbian et Windows, provoquant l'envoi de messages surtaxés.

Ce scenario d'attaque, pour se dérouler, demande de l'utilisateur qu'il visite un site malveillant, via un SMS ou un message de spam. Le mode opératoire est donc similaire à celui employé par le phishing, avec l'efficacité qu'on lui connait. Néanmoins, les pirates étant des gens pragmatiques, ils ne consacreront du temps au développement d'attaques que si celles-ci s'avèrent rentables.

Le bénéfice pour les pirates pourrait alors être de lancer des attaques ciblées, notamment contre les entreprises. La cible de marché de l'iPhone semble cependant être prioritairement le grand-public. Les professionnels disposent déjà d'outils de mobilité, dont le BlackBerry. L'avantage de ce dernier, et la faiblesse de l'iPhone, pour les entreprises est d'être administrable à distance. Ainsi en cas de vol ou de perte, il demeure possible de récupérer les données contenues sur le BlackBerry. Gartner a d'ailleurs fortement déconseillé une utilisation en entreprise de l'iPhone.

Toujours est-il que la rentabilité d'une attaque est directement corrélée à la base installée d'iPhone. Pour l'heure, les pirates restent relativement discrets dans l'univers des plateformes mobiles. Un deuxième bug mineur, identifié par Errata, concerne cette fois la fonction Bluetooth. Il ne permettrait pour le moment, d'après les tests de fuzzing, que de provoquer un déni de service sur l'appareil.

Hormis ces failles, dont une troisième concerne l'implémentation Wi-Fi, d'autres sociétés de sécurité auraient approché Apple pour lui signaler d'autres risques de sécurité. Mais selon le principe de la divulgation responsable, aucune communication ne sera faite avant publication d'un correctif par l'éditeur.

Au bénéfice d'Apple, et contrairement à la majorité des téléphones mobiles, l'iPhone peut bénéficier de mises à jour et de correctifs en s'interfaçant avec le logiciel iTunes. Le 5 juillet, une alerte a d'ailleurs averti les utilisateurs d'une mise à jour. Mais un iPhone infecté, connecté à un PC, ne pourrait-il pas servir de passerelle pour une attaque ? Plusieurs experts s'interrogent.

D'autres risques pourraient encore menacer l'iPhone, bien que toujours au conditionnel. Ce serait tout d'abord sa sur-médiatisation dont un des effets néfastes serait alors de susciter quelques vocations. D'autant qu'Apple a souvent fanfaronné sur la sécurité de ses produits. Nombre de hackers, par goût du bricolage technologique, se sont d'ailleurs déjà attelé avec succès à déverrouiller l'iPhone.

Enfin, le nombre d'applications préinstallées sur le téléphone multiplie les risques de failles applicatives et leur exploitation. L'éditeur élargit ainsi la superficie d'attaque en ajoutant des fonctionnalités et des lignes de code.

La complexification des systèmes accroit en effet les risques de vulnérabilités. Mais la plus grande faille du smartphone pourrait être la communication du constructeur, souvent très persuasif lorsqu'il s'agit de convaincre ses clients de la sécurité infaillible de ses produits.