La publication hier d'une solution de jailbreak en ligne pour l'iPad2, qui a réjoui nombre des amateurs de ces équipements est en fait le résultat de l'exploitation d'une faille zéro Day dans le traitement des fichiers PDF par le système d'exploitation IOS d'Apple. Cette faille est exploitée à une fin utile par le site jailBreakme.com pour jailbreaker très simplement les équipements Apple (via l'exécution d'un code contenu dans une police de caractère corrompue), mais pourrait aussi être utilisée par tout site web malicieux pour compromettre tout iPhone, iPad et iPod sans que l'utilisateur ne s'en rende compte.
Pour l'instant la seule façon de se protéger de la faille est de jailbreaker…
La faille est présente dans tous les iPod, iPad et autres iPhone faisant tourner les versions récentes de l'OS mobile d'Apple et est donc une sérieuse menace pour les utilisateurs. En attendant un correctif de la part de la firme à la pomme, la seule façon de s'en prémunir pour l'instant est d'utiliser le jailbreak en se rendant sur jailbreakme.com (attention une simple connexion sur ce site depuis un appareil IOS suffit) puis d'installer l'application PDF Patcher 2 depuis Cydia (le programme d'installation d'applications mis en œuvre par le jailbreak). Ce qui avouons-le est assez ironique. Rappelons qu'Apple ne permet pour l'instant pas l'installation d'antivirus ou d'outils de sécurité tiers sur ses équipements mobiles.
... en attendant une mise à jour de l'OS d'Apple
En toute logique, Apple devrait très rapidement publier un correctif comblant cette faille PDF, correctif qui nécessitera toutefois une mise à jour d'OS, puisque dans la version 4.x d'IOS, il n'y a aucun mécanisme d'application de correctif autre que la mise à jour complète de l'OS. Dès que cette mise à jour sera disponible, nous invitons tout utilisateur se refusant au jailbreak à l'installer aussi rapidement que possible, vu la gravité de la faille et surtout sa simplicité d'exploitation (notons que les équipements IOS faisant tourner la bêta d'IOS 5 ne sont pas concernés par cette vulnérabilité).
Terminons en signalant que le toujours vigilant BSI allemand (Bundesamt für Sicherheit in der Informationstechnik), l'équivalent de notre DCSSI, a réagi très vite à l'annonce du Jailbreak en mettant en garde les possesseurs de terminaux Apple contre la visite de sites douteux qui pourraient exploiter discrètement la faille pour prendre le contrôle de leurs i-bidules…
Toute reproduction ou représentation intégrale ou partielle des pages publiées sur ce site, faite sans l'autorisation de l'éditeur est illicite et constitue une contrefaçon. LeMagIT s'engage à respecter la confidentialité des données personnelles conformément à la loi 78-17 du 6 janvier 1978. LeMagIT n'assume aucune responsabilité de type éditoriale sur les commentaires publiés sur ce site, la mise en ligne n'étant soumise à aucun contrôle à priori. La fréquentation de ce site est certifiée OJD.
Tous les services du MagIT sur