Une faille qui prend complètement à défaut le système de validation de l'App Store

Christophe Laporte |

Incontestablement, Charlie Miller, vient de réussir l’un de ses plus jolis coups. Le chercheur en sécurité a débusqué une faille dans iOS qui permet de contourner la signature du code. Ce mécanisme permet en théorie de n’exécuter que des commandes autorisées dans la mémoire de l’iPhone ou de l’iPad.

La démonstration de Charlie Miller est assez impressionnante. Il a soumis à Apple, Instastock, un logiciel qui permet de suivre les cours de la bourse. Cette dernière a été validée et a été disponible plusieurs jours sur l’App Store avant qu’Apple s’aperçoive de la supercherie.

Si d’apparence, l’application n’avait rien de bien folichon, elle était également capable de télécharger et d’exécuter du code à distance, lequel n’est pas passé bien entendu entre les mains d’Apple. Comme il le montre dans la vidéo, grâce à son logiciel, Charlie Miller peut très facilement prendre le contrôle de l’iPhone sur lequel l’application est installée, récupérer des données confidentielles ou encore exécuter certaines commandes. Le tout à la barbe et au nez de l’utilisateur…

Charlie Miller doit faire une démonstration de cette faille lors de la conférence SysCan qui se tient la semaine prochaine à Taiwan. Toutefois, il avait présenté ses travaux en avant-première à Forbes. Apple n’a pas tardé à réagir et à supprimer Instastock, au bout de quelques heures. La firme de Cupertino a rarement été aussi rapide pour retirer un logiciel de sa plate-forme de téléchargement. Apple aurait même fermé le compte développeur de Charlie Miller alors que la marque à la pomme lui en avait justement offert un pour qu’il puisse faire des tests.

Il semble que la faille ait un lien avec Nitro, le moteur JavaScript de Safari Mobile apparu dans iOS 4.3. Ce dernier avait la particularité de supporter la compilation à la volée (JIT), et par conséquent d'avoir la capacité de marquer des pages mémoire en RAM comme étant exécutables.

Et c’est justement pour cette raison qu’Apple avait dans un premier temps réservé Nitro à son navigateur web, de peur que des petits malins parviennent à faire fonctionner du code non signé par ce biais.

Quoi qu’il en soit, Charlie Miller n’en dira pas plus sur la question tant qu’Apple ne corrige pas cette faille dans iOS.

Tags
#sécurité
avatar KillerX | 
Ce hacker est tout simplement impressionnant tant par ses exploits que son humanité vis-à-vis des entreprises qu'il met à mal. Je lui tire mon chapeau ^^. Le genre de mec qu'il faudrait embaucher à Charlie Hebdo ou au FBI :p
avatar Lou117 | 
Nitro est activé dans les applications tierces avec iOS 5? Il ne me semblait pas.
avatar RaZieL54 | 
"Ce qui me fascine c'est que des gars qui ne connaissent pas le code source d'IOS soient capables de pondre des trucs pareils, de même pour le jailbreak" Ils ne le connaissent pas mais ils sont capables de faire du reverse engineering, ce qui permet de savoir comment fonctionne le système... Et apres ils utilisent des outils logiciels pour détecter les faiblesses, mais aussi et surtout leurs talents et leur opiniâtreté ! Miller vient tout de meme de réaliser un coup de maitre en démontrant que la certification de l'AppStore était contournable et apparemment il l'a fait en exploitant une spécificité relativement puissante. Cela met Apple dans une position gênante, mais cela vaut aussi pour tous les autres fabricants d'OS, car Miller exploiterait la une faiblesse liee a une optimisation de fonctionnement qui ne peut pas être assez protégée... Et dans les systèmes embarques ce genre d'optimisation est la clef de leur réussite... Apple est doublement genee car cela remet en cause la sécurité d'iOS mais surtout cela destabilise l'écosystème en entier. Et c'est la certification de cet écosystème qui permet a Apple de negotier avec les diffuseurs de contenu verrouille... Car, outre le fait d'exploiter la faille humaine, le comportement de l'app de Miller semble permettre d'outrepasser code, signature, et surtout d'accéder aux ressources matérielles, donc c'est très mauvais pour les DRM et le contrôle de l'exécution ... Qu'Apple soit choquee par la réussite de Miller est normal, mais c'est de la faute d'Apple (et sur ce coup la pourtant Apple a une longue expérience de techno de compilateur JIT depuis Hypercard en passant par DyLan ou Java et Javascript) et si Apple avait bien ferme les accès de Miller ce serait aussi stupide que contre productif. Qu'Apple engage des personnes de la qualité de Miller et continue a améliorer la qualité de ses produits et ne fasse pas comme d'autres entreprises du secteur qui virent les collaborateurs qui trouvent des failles dans le soft ou dans l'organisation et les dénoncent ... @Oomu "Toute compilation native et exécution directe par le processeur est un risque." Tu as raison, mais ce n'est valable que pour la compilation dynamique (a l'exécution). La compilation statique permet justement d'éviter ce genre de chose (enfin en principe car le bufferoverflow est exploitable meme dans ce cas de figure, et seul un contrôle de typage strict permet d'en limiter les risques, mais bon c'est pas demain que, globalement, les développements commerciaux vont se faire en Ada ou en Eiffel)
avatar solea | 
@ rom54 Tu vas un peu loin. Ça ne remet pas en cause la sécurité ni ne déstabilise l’écosystème mis en place. On sait qu’il peut y avoir des erreurs, celle-ci en fait partie. Elle est grosse, certes, mais plus important encore, elle est provoquée par Charlie Miller, qui depuis des années trouve des failles partout et tout le temps. C’est très bien, ce sera corrigé. À moins que la presse généraliste décide de faire la une pendant une semaine avec ce problème qui ne touche personne, le grand public se fiche complètement des exploits de Miller et ne voit pas en eux une menace.
avatar RaZieL54 | 
Je vais dans cette direction en focalisant sur la conséquence qui est un affaiblissement de la puissance de négociation dont disposait Apple jusqu'à présent face a l'industrie du divertissement, mais aussi face au monde de l'entreprise. Apple est dans la même situation que les banques dans cette optique. Ce qui fait la force d'Apple c'est la confiance dont elle beneficie e terme de sécurité (que ce soit réel ou pas n'est pas la question) qui est équivalente a la capacité qu'on les banques a rembourser l'argent qui leur est confie (prêt, depot,...). Si on veut faire un parallèle d'actualité Apple disposait d'un triple A et d'une croissance a la chinoise, alors que Microsoft c'est plutôt la Grece ou la Californie... Maintenant la note de confiance vient d'être dégradée. Si Apple a réussi a faire plier les éditeurs de musiques, de vidéos et maintenant de presses c'est non seulement grâce a la stratégie habile et aux compétences de Jobs, mais aussi parce que Apple offrait des garanties de sécurité (sécurité = contrôle dans ce cas) sur le contenu grâce a son écosystème. La fermeture apparente de l'environnement Apple est une des clefs demandée par l'industrie, c'est pourquoi des formats libres(flac,ogg,mkv) ne pouvaient pas exister sur iOS jusqu'à récemment. Avec cette faille Apple se retrouve dans la situation de l'environnement Android, donc impossible de garantir la sécurité des données et leur identification. Il faut voir que pour l'industrie et le monde corporate Android c'est un truc de geek et de pirate. Apple apportait la promesse du contrôle qui était une qualité(réputée mais non justifiée vu la passoire que c'est) de Microsoft, la fiabilité et une perspective de développement considérable. Miller vient de casser ça et met Apple au meme niveau qu'Android (ou presque) aux yeux de l'industrie du divertissement, et cela va peser dans les prochaines négociations... Alors certes, ce qu'a fait Miller c'est une preuve de concept difficilement reproductible et qu'a l'évidence personne n'a encore exploitée, et cette faille va être comblée par Apple rapidement (au prix d'un contrôle supplementaire et de limitations qui vont en faire hurler plus d'un), mais voila on ne peut revenir en arrière et la preuve est faite qu'un écosystème comme celui d'Apple est faillible face a une attaque mêlant hacking et social engineering...
avatar chmgd | 
C'est un fantasme de placer la (sous-)sécurité de l'écosystème d'Apple au même niveau que celui d'Android. Je reste partagé sur les succès de ce genre de types dont la vie semble dédiée à trouver des failles qui bien souvent restent très théoriques. Ça prend un esprit un peu tordu pour passer sa vie à montrer les failles des autres... Aussi, il y a un débat actuellement sur le fait que Apple veuille sécuriser encore plus le Mac Store avec le "Sandboxing". Plusieurs développeurs semblent préoccupés. Mais en bout de ligne c'est un peu à cause de types comme Charlie Miller, qui font peur aux gens avec des failles qui n'existent à peu près que pour eux, que les systèmes deviennent encore plus fermés. Je ne crois vraiment pas qu'il faille l'applaudir.
avatar winstonsmith | 
@ericaqc : Remarque, en cas de cyber-guerre, on sera pas démunis.
avatar dagenais17 | 
@Yohmi ça veut quand dire qu'une équipe moins bien intentionnée peu aussi trouver des failles et les exploiter. En clair ni iOs ni Mac Os X ni Linux ni Windows ne sont des systèmes infaillible. Mais ça les gens qui font dans la sécurité le savent depuis belle lurette. Les vendeurs d'os et autres machines eux feignent de l'oublier.
avatar hozuki | 
En gros Miller bosse gratuitement pour Apple en leur trouvant des failles sans faire de dégâts et pour le remercier ils ferment son compte... Ils sont vraiment stupides chez Apple ?
avatar drkiriko | 
Le pb c'est que l'accès à son app a été validé publiquement. Il aurait pu simplement avertir Apple qu'il été en mesure de passer la barrière sans forcément le faire... Mais est-ce aussi jouissif ?
avatar drkiriko | 
@xplodwild : tu as certes raison, mais tout n'est pas permis. Il y a quelques jours, je suis tombé sur un faille hyper critique sur un soft développé par Lacie (fournisseur de disque dur entre autre chose). La faille permet d'accéder directement sur un lecteur réseau "sans" mot de passe. Ils ont été prévenus. S'ils ne font rien, c'est dommage, mais je ne vais pas pour autant tout balancer sur le Web.
avatar RaZieL54 | 
Certaines failles sont plus difficiles que d'autres a prendre en charge. Par moment juste un petit patch suffit, d'autre fois ça implique un retour en usine de l'appareil. Si on pense en ingénieur, il est logique de vouloir combler systématiquement les failles et le plus vite possible. Par contre un directeur marketing va plutôt penser en terme d'image et de cout: une faille qui ne peut être exploitée que par des ingénieurs de haut niveau et permettant d'attaquer un matériel grand public - qui sera obsolète avant meme que l'utilisateur s'en rende compte - ne justifie pas de dépenser de l'argent ni de casser l'image construite a coups de millions de publicité. D'autant que certaines failles peuvent ne pas forcement en être: quand un gars tombe sur une backdoor élaborée de concert avec des agences de sécurité, la combler ça pose beaucoup de problèmes... politiques et strategiques. C'est comme en développement: les inge veulent pas sortir un produits buggue, les marketteux disent: la campagne de pub a démarrée alors on vend et on patchera plus tard, si besoin... Ou alors c'est aussi le problème des produits sous traites en Chine: les inge vérifient les prototypes, le sous traitant donne l'impression d'être très réactif et de bonne volonté (quand il comprend...) et une fois le proto certifie bon pour production le sous traitant change les specs a l'insu du client avec des matériels inégaux pour "marger" plus qu'il n'aurait initialement... Et quand le produit se retrouve a plusieurs milliers d'exemplaires dans des conteneurs et a fortiori livre au client, pour encaisser les couts de rappel, faut que ce soit vraiment grave et a court terme! Et comme les bureaux de marketteux sont grand copains avec les stats, la gravite elle est toute relative....
avatar tipablo | 
Je pense que Charlie va TRES VITE retrouver son compte chez Cupertino & associés. Ce mec est une mine...
avatar Olivenere | 
Toute la question est de savoir si la découverte et la mise en exergue de failles de sécurité sont les bienvenues. Et je parie que, pour certains, la réponse est non. La mauvaise publicité faite à la marque et les coûts engendrés par la prise en compte forcée de ces failles ne doivent pas être vus d'un très bon œil par les responsables. Mais j'irai même plus loin. Il n'est pas exclu que quelques-unes de ces failles aient été placées à dessein dans le système, et que leur publication anéantisse à court terme les moyens d'intrusion qui s'appuyaient dessus. Pour ceux d'entre vous qui trouveraient cette « théorie du complot » infondée, je rappellerai qu'on soupçonne depuis longtemps des sociétés américaines (Microsoft en tout premier lieu) de se livrer à de telles pratiques, pour leur propre compte ou au nom de l'« Advocy policy », et que cela est même aujourd'hui devenu une quasi-nécessité pour les autorités occidentales, notamment aux E.-U. (Patriot Act, depuis dix ans), en Allemagne (depuis trois ans) et en France (depuis la semaine dernière, avec la publication du décret d'application 2011-1431 de Loppsi 2). Ces pratiques ont même incité le gouvernement indien à lancer l'an dernier le développement de son propre système d'exploitation, afin de limiter les intrusions étrangères et (officieusement) d'acquérir ses propres moyens d'écoute et d'action informatiques (comme il tente visiblement de le faire avec les BlackBerries). Bref, les découvertes de Charlie Miller concernant l'une des principales plateformes mobiles vendues dans le monde par les Américains ne plaît certainement pas à tout le monde.

CONNEXION UTILISATEUR