Mise à jour – Apple vient de siffler la fin de la récréation. La firme de Cupertino diffuse depuis hier un correctif comblant la faille de sécurité qui permettait de déverrouiller un appareil via le navigateur web Safari.

Ce correctif est déployé à travers deux mises à jour : l’iOS 4.0.2 pour les iPhone disposant de la dernière version du système d’exploitation mobile et l’iOS 3.2.2 afin de bloquer le jailbreak sur les iPad.

Sujet du 2 août – Ça n’est pas une bonne nouvelle pour le niveau de sécurité de l’iOS 4 installé par Apple sur les derniers iPhone, iPod touch et iPad. Le site Jailbreakme.com propose, lorsqu’il est visité depuis le navigateur Safari de l’appareil mobile, de procéder au déverrouillage de l’appareil pour permettre l’installation d’applications distribuées autrement que sur le seul App Store. La manœuvre a été reconnue légale par la Bibliothèque du Congrès, mais elle profite ici d’une vulnérabilité du système pour faciliter au maximum l’installation.

Après avertissements et demande de confirmation, l’application en ligne télécharge les fichiers qui permettront de modifier le firmware de l’appareil mobile, procède à la mise à jour, et ajoute automatiquement l’application Cydia, la principale plate-forme concurrente de l’App Store. Le tout se fait en ligne, sans avoir besoin de passer par un PC ou un Mac. L’opération, réversible par une simple restauration du système sur iTunes, fonctionne pour tous les appareils sous iOS 3.2.1, iOS 4.0, ou iOS 4.0.1.

Comex, l’auteur du site, utilise une vulnérabilité de Safari Mobile qui télécharge automatiquement le contenu des fichiers PDF, et qui permet l’exécution de codes qui y sont intégrés. Il a ainsi ajouté le code source malicieux qui lance le jailbreak dans un document PDF, interprété par Safari. Inquiétant, d’autant que le jailbreak demande l’accès à un niveau profond du système, ce qui pourrait être exploité par d’autres âmes moins bien intentionnées, et sans avertissements préalables.

La faille devrait cependant être corrigée dès la prochaine mise à jour du système.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !