Incontestablement, Charlie Miller, vient de réussir l’un de ses plus jolis coups. Le chercheur en sécurité a débusqué une faille dans iOS qui permet de contourner la signature du code. Ce mécanisme permet en théorie de n’exécuter que des commandes autorisées dans la mémoire de l’iPhone ou de l’iPad.
La démonstration de Charlie Miller est assez impressionnante. Il a soumis à Apple, Instastock, un logiciel qui permet de suivre les cours de la bourse. Cette dernière a été validée et a été disponible plusieurs jours sur l’App Store avant qu’Apple s’aperçoive de la supercherie.
Si d’apparence, l’application n’avait rien de bien folichon, elle était également capable de télécharger et d’exécuter du code à distance, lequel n’est pas passé bien entendu entre les mains d’Apple. Comme il le montre dans la vidéo, grâce à son logiciel, Charlie Miller peut très facilement prendre le contrôle de l’iPhone sur lequel l’application est installée, récupérer des données confidentielles ou encore exécuter certaines commandes. Le tout à la barbe et au nez de l’utilisateur…
Charlie Miller doit faire une démonstration de cette faille lors de la conférence SysCan qui se tient la semaine prochaine à Taiwan. Toutefois, il avait présenté ses travaux en avant-première à Forbes. Apple n’a pas tardé à réagir et à supprimer Instastock, au bout de quelques heures. La firme de Cupertino a rarement été aussi rapide pour retirer un logiciel de sa plate-forme de téléchargement. Apple aurait même fermé le compte développeur de Charlie Miller alors que la marque à la pomme lui en avait justement offert un pour qu’il puisse faire des tests.
Il semble que la faille ait un lien avec Nitro, le moteur JavaScript de Safari Mobile apparu dans iOS 4.3. Ce dernier avait la particularité de supporter la compilation à la volée (JIT), et par conséquent d'avoir la capacité de marquer des pages mémoire en RAM comme étant exécutables.
Et c’est justement pour cette raison qu’Apple avait dans un premier temps réservé Nitro à son navigateur web, de peur que des petits malins parviennent à faire fonctionner du code non signé par ce biais.
Quoi qu’il en soit, Charlie Miller n’en dira pas plus sur la question tant qu’Apple ne corrige pas cette faille dans iOS.
Une faille qui prend complètement à défaut le système de validation de l'App Store
Soutenez MacGeneration sur Tipeee
MacGeneration a besoin de vous
Vous pouvez nous aider en vous abonnant ou en nous laissant un pourboire
Soutenez MacGeneration sur Tipeee
Deepfakes : Grok bloqué en Indonésie et en Malaisie, mais toujours disponible sur l’App Store
12:29
• 17
Des débits anormalement faibles entre les iPhone 17 Pro et certaines Livebox
11:54
• 3
Samsung ouvre son équivalent au Refurb en France… avec des téléphones plus chers que neufs
11:08
• 9
Pour ses 14 ans, Free Mobile répète son engagement de prix bloqués et appuie sur la 5G+
10:33
• 28
Attention : Sumeria (ex-Lydia) met en place des frais d'inactivité de 3 € par mois
09:54
• 29
Homebridger, une app chargée de superviser Homebridge depuis un iPhone ou iPad
08:58
• 5
Apple Intelligence : Elon Musk voit rouge face à l’alliance avec Google
08:46
• 66
RCS : le chiffrement de bout en bout se prépare (enfin) sur iPhone
06:30
• 18
iOS 26.2.1 : une mise à jour surprise dans les tuyaux ?
05:57
• 3
Free Mobile n'a plus que 6 303 antennes 3G et va bientôt se reposer entièrement sur Orange
12/01/2026 à 22:22
• 9
Test du thermostat sans fil W100 d’Aqara : un contrôleur trop limité hors de l’écosystème de son fabricant
12/01/2026 à 20:30
• 9
Apple vient de mettre en ligne la seconde bêta d'iOS 26.3, macOS 26.3, watchOS 26.3 et les autres
12/01/2026 à 19:34
• 14
À Lyon, Apple Plans déraille sur les itinéraires en transports en commun
12/01/2026 à 18:03
• 28
Apple confirme que le nouveau Siri s’appuiera sur Gemini
12/01/2026 à 16:32
• 140
Apple vante une année record pour ses services avec des chiffres bien choisis
12/01/2026 à 16:17
• 2
L’alternative au Magic Keyboard à prix cassé : le Logitech Combo Touch dès 110 € !
12/01/2026 à 15:30
• 17

Test du thermostat sans fil W100 d’Aqara : un contrôleur trop limité hors de l’écosystème de son fabricant

Test de la caméra Aqara G100 : vidéo sécurisée HomeKit dedans comme dehors pour 40 €

Test du FP300 d’Aqara, le premier détecteur de présence sur pile compatible avec Matter

Test des iPad Pro M5 : toujours plus forts, pas vraiment plus pros

Test du Mogo, le stabilisateur iPhone compatible DockKit à seulement 50 €






