La conférence CanSecWest de Vacouver, et son concours Pwn2Own durant lequel des navigateurs web et des plateformes mobiles sont mis à l'épreuve a vu l'iPhone 4 et le BlackBerry Torch 9800 pris en défaut.
Charlie Miller, un habitué de ce concours qu'il vient de remporter pour la quatrième fois, et Dion Blazakis ont réussi à trouver une faille de sécurité dans l'iPhone 4 et à en récupérer des données, sans que cela ne nécessite d'interaction (ou peu) de la part du propriétaire du téléphone. Ainsi le précisaient les règles de participation. La méthode utilisée n'a pas été dévoilée, elle sera communiquée à Apple et celle-ci aura six mois pour la corriger, avant que l'organisateur du concours ne la rende publique.
Miller a expliqué que l'année dernière il avait une méthode prête plusieurs mois avant le concours. Mais cette fois, avec son partenaire (qui a réalisé l'essentiel du travail de recherche de bugs) cela a pris quelques mois et ils y travaillaient encore la veille. Mais ensuite la démonstration n'a pris que quelques secondes, il ont branché leur ordinateur sur le téléphone et l'affaire était réglée. Avec à la clef un chèque de 15 000$ (presque 11 000 €) à se partager et le téléphone en cadeau bonus.
Un BlackBerry Torch 9800 avec BlackBerry OS 6 a subi les mêmes outrages. En revanche, le Nexus S avec Android et le Dell Venue Pro avec Windows Phone 7 sont restés inviolés. Les personnes qui avaient prévu de les mettre à l'épreuve se sont désistées pour différentes raisons. Parmi elles, George Hotz, alias geohot, occupé par ses bisbilles avec Sony et son jailbreak de la PS3.
Et personne n'a montré un moyen de détourner le baseband de ces téléphones, ce composant gérant la partie téléphonie. Un système, permettant d'isoler les téléphones afin d'éviter que l'exploit ne soit intercepté avait été installé, avec la séquence des actions prévue pour être filmée. Mais il est resté inutilisé.
[via ComputerWorld]
Sur le même sujet :
- CanSecWest : Safari tombe sur une faille de sécurité WebKit
