Qu'est-ce qu'Apple irait faire dans cette galère ? Décryptage
Après six mois d'utilisation, le bilan concernant Siri est très mitigé !
Que faire lorsqu'on porte une robe de soirée sans poches pour ne pas devoir garder son iPhone à la main ? Comment porter une tenue d'été seyante sans risquer de perdre son iPhone ou d'avoir les poches surchargées ? Voilà la réponse : le holster façon FBI ! Gardez votre iPhone sur vous sans encombrer vos poches. 19,99 $ chez ThinkGeek.
Un hacker a pu identifier certains iPhone hollandais jailbreakés sur le réseau de T-Mobile, en faisant du "sniffing" sur le port 22 (typiquement assigné à SSH). SSH permet d'accéder à un iPhone jailbreaké par le terminal, et permet également l'échange de fichiers sur le réseau, à ce titre il est souvent installé sur les iPhone jailbreakés. Le problème, c'est que le mot de passe du compte root activé par défaut n'est que rarement modifié par les utilisateurs, ce qui laisse les portes grandes ouvertes aux hackers, qui peuvent ainsi faire ce que bon leur semble de l'appareil.
Cependant le hacker en question n'a pas été aussi loin : il a fait en sorte que les appareils s'envoient à eux-mêmes un SMS qui dit en substance : « Avertissement important, votre iPhone a été hacké parce qu'il n'est vraiment pas sécurisé ! Veuillez aller sur doiop.com/iHacked et sécurisez votre iPhone immédiatement ! Actuellement, je peux accéder à tous vos fichiers… Ce message ne disparaîtra que lorsque votre iPhone sera sécurisé. »
La page en question a depuis été retirée, mais elle consistait à extorquer les utilisateurs de 5 euros vers un compte Paypal en échange d'un email expliquant la procédure pour rétablir la sécurité de l'iPhone… (conseil qui consistait probablement à un changement du mot de passe root ou tout bêtement au mode restauration de l'appareil). La page donnait quelques précisions :
« Si vous ne voulez pas payer, ça ne me pose pas de problème, mais souvenez-vous que des milliers d'autres personnes peuvent accéder à votre iPhone de la même façon que je l'ai fait — ils peuvent envoyer des messages textuels depuis votre numéro (comme je l'ai fait), l'utiliser pour appeler ou enregistrer vos appels, et tout ce qu'ils veulent d'autre, y compris pour leurs propres activités de hacking! Je peux vous assurer que je n'ai aucune intention de vous causer du tort, mais d'autres ne sont pas aussi bien disposés ! Ce n'est rien d'autre que mon conseil pour sécuriser votre téléphone. »
De fait, la technique utilisée est à la portée de n'importe quel utilisateur qui a un minimum de connaissances en matière de réseau. Ars Technica, qui rapporte la nouvelle, indique que cette technique avait déjà été mise en œuvre par des chercheurs en sécurité, mais qu'il semble que c'est la première fois qu'elle ait été exploitée "dans la nature".
Vous devez être connecté pour réagir.
Si ce n'est pas le cas, inscrivez-vous.
Vos réactions
GROS SIGH !
Quand on dit qu'il faut avoir une solide culture informatique avant d'ouvrir les vannes (détruire les sécurités) de l'iphone, c'est pas pour rien !
Ssh c'est très sécurisé mais PAS si on y a un mot de passe bidon que tout le monde connait !
-
accessoirement, la suppression du "jail" supprime toutes les défenses et cloisonnement entre logiciels, le moindre programme a toutes les possibilités. contrairement à un iphone "cloisonné" en temps normal.
(ca évite que si apple fasse une grosse gaffe sur son magasin, que ca détruise les données des autres applications. C'est un risque théorique mais c'est mieux d'être blindé contre. )
-
par contre, je ne comprends pas trop cette histoire de sniffing sur T-mobile .. on ne peut pas écouter le réseau d'un opérateur sans fil.
par contre on peut essayer de se connecter à des iphones à portée wifi ou bluetooth qui aurait tout ouvert, au cas où. portée de 10-15 mètre pour wifi ?
Peut-être ne connais tu pas tout....
Peut être que celui qui pose une question est un imbécile 5mn, celui qui n'en pose jamais l'est toute sa vie.
Vous auriez pu répondre.
-
et sinon, la vérité : vous avez tort. Je sais tout. et oui le jailbreak est une prise de risque. Point.
Y'a plein de tuto qui explique très simplement comment changer son mot de passe ssh. C'est pas compliqué.
Quand j'ai jailbreaké mon iphone, j'ai était surpris de voir un mot de passe standard, identique pour tout le monde, et a aucun moment du jailbreak on propose de modifier le mdp.
Sur un reseau wifi. Rien de plus simple de trouver les iphones avec le protocole bonjour et d'avoir accès à tous les fichiers de l'iphone (contacts,...).
Il FAUT changer le mot de passe, c'est simple et ca evite de gros gros risque.
A noter tout de même que pour accéder par ssh à l'iphone, il ne faut pas que l'iphone soit en veille.
Le problème c'est que ça va encore faire le tour de tous les médias sur le mode "iPhone, téléphone non sécurisé et blablabla..." Je vois d'ici les commentaires des anti-Apple de base :(
"Y'a plein de tuto qui explique très simplement comment changer son mot de passe ssh. C'est pas compliqué.
"
c'est simple pour ceux qui COMPRENNENT ce qu'ils font (et osent déjà savoir ce qu'est ce ssh)
vous n'imaginez pas le nombre de personnes qui se mettent en mode "auto-guidage", suivent les instructions à la cool du jour mais ne pigent rien des conséquences, du pourquoi, du comment.
Vous , vous savez ce qu'est ssh.
@oomu
J'aimerai bien savoir aussi le pourquoi du comment de cette histoire de sniffing...
Peut-être que les téléphones ne sont pas reliés en point-to-point sur leur serveur mais ça serait énorme !
Ou bien il a réussit à s'introduire sur un serveur et attaquer les liaisons de là, ce qui serai encore plus énorme (et dangereux pour tous les téléphones du réseau, tcpdump est ton ami) !