Incontestablement, Charlie Miller, vient de réussir l’un de ses plus jolis coups. Le chercheur en sécurité a débusqué une faille dans iOS qui permet de contourner la signature du code. Ce mécanisme permet en théorie de n’exécuter que des commandes autorisées dans la mémoire de l’iPhone ou de l’iPad.
La démonstration de Charlie Miller est assez impressionnante. Il a soumis à Apple, Instastock, un logiciel qui permet de suivre les cours de la bourse. Cette dernière a été validée et a été disponible plusieurs jours sur l’App Store avant qu’Apple s’aperçoive de la supercherie.
Si d’apparence, l’application n’avait rien de bien folichon, elle était également capable de télécharger et d’exécuter du code à distance, lequel n’est pas passé bien entendu entre les mains d’Apple. Comme il le montre dans la vidéo, grâce à son logiciel, Charlie Miller peut très facilement prendre le contrôle de l’iPhone sur lequel l’application est installée, récupérer des données confidentielles ou encore exécuter certaines commandes. Le tout à la barbe et au nez de l’utilisateur…
Charlie Miller doit faire une démonstration de cette faille lors de la conférence SysCan qui se tient la semaine prochaine à Taiwan. Toutefois, il avait présenté ses travaux en avant-première à Forbes. Apple n’a pas tardé à réagir et à supprimer Instastock, au bout de quelques heures. La firme de Cupertino a rarement été aussi rapide pour retirer un logiciel de sa plate-forme de téléchargement. Apple aurait même fermé le compte développeur de Charlie Miller alors que la marque à la pomme lui en avait justement offert un pour qu’il puisse faire des tests.
Il semble que la faille ait un lien avec Nitro, le moteur JavaScript de Safari Mobile apparu dans iOS 4.3. Ce dernier avait la particularité de supporter la compilation à la volée (JIT), et par conséquent d'avoir la capacité de marquer des pages mémoire en RAM comme étant exécutables.
Et c’est justement pour cette raison qu’Apple avait dans un premier temps réservé Nitro à son navigateur web, de peur que des petits malins parviennent à faire fonctionner du code non signé par ce biais.
Quoi qu’il en soit, Charlie Miller n’en dira pas plus sur la question tant qu’Apple ne corrige pas cette faille dans iOS.
Une faille qui prend complètement à défaut le système de validation de l'App Store
Soutenez MacGeneration sur Tipeee
MacGeneration a besoin de vous
Vous pouvez nous aider en vous abonnant ou en nous laissant un pourboire
Soutenez MacGeneration sur Tipeee
Quand la Silicon Valley achète du temps de cerveau à Washington
24/01/2026 à 11:00
• 17
Le thermomètre ThermoScan 7+ de Braun est enfin compatible avec Santé
24/01/2026 à 10:00
• 16
Soldes : les quatre barres lumineuses Philips Hue Play à 145 € (- 45 %) 🆕
24/01/2026 à 09:00
• 4
Quand Craig Federighi a dit non à un Springboard piloté par l’IA
24/01/2026 à 07:22
• 46
Free TV : une mise à jour pour faire oublier les outils de debug
24/01/2026 à 06:16
• 17
Bon plan : un support iPad tout métal à 11,89 € grâce à un coupon (-30 %)
23/01/2026 à 23:59
• 7
La saga TikTok US se conclut enfin, le repreneur est dévoilé
23/01/2026 à 22:30
• 50
L’A22 de 2028 produit en partie par Intel ? Les chances paraissent très minces
23/01/2026 à 20:45
• 12
La nouvelle Volvo EX60 compatible Apple Music avec Dolby Atmos
23/01/2026 à 18:46
• 24
Des bidouilleurs ajoutent un tiroir SIM physique à l’iPhone Air
23/01/2026 à 17:03
• 19
Apple Experience : un carton d'invitation qui sent bon le MacBook Pro
23/01/2026 à 16:55
• 35
Onside, une boutique alternative sur iOS encore très discrète
23/01/2026 à 16:24
• 5
Promo : l’iPad Pro M4 13" 512 Go à seulement 1 286 €, l’iPad Air M2 au même format à 892,49 € (-31 %)
23/01/2026 à 15:32
• 2
Un bug fait vaciller Outlook sur iPad, mais un correctif arrive
23/01/2026 à 15:07
• 6
WishKit ressuscite la liste de souhaits de l’App Store
23/01/2026 à 12:42
• 11
Gemini pourrait bientôt générer de la musique
23/01/2026 à 11:38
• 9

Test du MagFold Wallet Stand : un porte-cartes MagSafe malin qui fait aussi support d’iPhone

Test de l’ALPSTUGA d’IKEA : un capteur de qualité d’air complet et pas cher, mais décevant dans Maison

Test de la lampe chauffe-bougie de SwitchBot, un éclairage Matter doublé d’un diffuseur de parfum

Test du thermostat sans fil W100 d’Aqara : un contrôleur trop limité hors de l’écosystème de son fabricant

Test de la caméra Aqara G100 : vidéo sécurisée HomeKit dedans comme dehors pour 40 €






