C'est un développeur qui a crée le code malicieux pour mettre en évidence une faille de la boutique en ligne d'Apple. Loin de le remercier, la firme de Cupertino a préféré le bannir de sa communauté.

Le logiciel se faisait passer pour un traqueur de prix d'actions. Il pouvait en réalité voler des données personnelles.

Son créateur, le hacker et spécialiste en sécurité informatique Charlie Miller, a vu son application être acceptée par l'AppStore en septembre. Aujourd'hui, soit deux mois plus tard, il a révélé qu'elle contenait en réalité un malware capable de télécharger à distance images et contacts.

Le logiciel, InstaStock, exploitait une mise à jour récente d'iOS qui permet à du code non-approuvé d'être ajouté à une application. "Avant, vous pouviez télécharger n'importe quoi sur l'App Store sans crainte. Maintenant, vous ne savez pas ce qu'une application peut faire", constate son créateur suite à son expérience.

Apple, qui n'a pas souhaité s'exprimer officiellement sur l'affaire, a contacté Mr Miller par e-mail quelques heures après qu'il leur ai signalé la faille. Le courriel lui annonçait son bannissement de l'iOS developer program, au motif qu'il en avait enfreint le règlement et les conditions d'utilisation.

En 2009, l'homme avait pourtant déjà identifié un bogue dans le système de SMS de l'iPhone qui permettait à un individu malveillant de prendre le contrôle à distance du terminal. Il a ainsi mis en lumière plusieurs vulnérabilités présentes dans les produits Apple.

Apple s'est plutôt montré ingrate envers le scientifique qui, amer, explique qu'il dévoilera le 17 novembre, lors d'une conférence à Taïwan, les détails de son exploit.

 Malgré cela, de nombreux experts estiment que l'App Store reste le magasin d'applications le plus sûr du Web. Il est reproché à l'Android Market d'être trop laxiste sur certains points.

Les experts admettent néanmoins que cette application malicieuse pourrait être la première d'une longue série.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143934
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI