Le système d'applications sur iPhone et iPad est fermé, certes, mais en contrepartie, c'est l'assurance d'une simplicité d'utilisation et d'une sécurité à toute épreuve. Car pour être présent sur l'Appstore, il faut passer le barrage de la validation. Et Apple ne laisserait pas passer un programme malveillant, vous pensez bien. Sauf si, comme vient de le découvrir Charlie Miller, chercheur en sécurité au cabinet Accuvant Labs, une faille dans le système d'exploitation iOS permettait de dissimuler des fonctionnalités cachées dans une application apparemment inoffensive.
Miller a en effet découvert que la version iOS 4.3 avait changé les limitations d’exécution du code Javascript pour améliorer la vitesse du navigateur Safari. Et cette modification peut permettre à une application d'avoir accès à des informations et des fonctions sur l'iPhone ou de l'iPad sur lequel elle est installée. Pour prouver ses dires, le chercheur a donc proposé pour validation sur l'Appstore le logiciel InstaStock, un petit programme de suivi des cours de la bourse en temps réel. Rien de bien méchant.
Sauf qu'une fois exécuté, InstaStock permet à son concepteur de prendre le contrôle à distance quasi total de la machine. Il en fait même la démonstration dans une vidéo où il montre qu'il a un accès libre aux données stockées et qu'il arrive à faire vibrer le téléphone.
«Jusqu'ici vous pouviez télécharger n'importe quoi sur l'App Store sans craindre un logiciel malveillant. A présent, vous ne savez plus de quoi est capable une application» , constate Miller. Le chercheur, avant tout soucieux de la sécurité des utilisateurs des objets Apple, a logiquement prévenu les services du constructeur de l'existence de cette faille béante. La réaction ne s'est pas fait attendre, d'après le magazine Forbes . Charlie Miller a reçu un mail en provenance de Cupertino : «Cette lettre fait office de notification d'arrêt du contrat de licence de développeur iOS entre Apple et vous. [...] Prend effet immédiatement.»
Effectivement, InstaStock contrevient très logiquement aux conditions d'utilisation de l'Appstore qui interdit aux développeurs de «cacher, dénaturer ou masquer» des fonctionnalités présentes dans leurs applications. Mais la réaction d'Apple n'est pas franchement rassurante et montre plutôt une volonté de passer sous silence les possibles problèmes de sécurité. Un développeur réellement malveillant ne préviendra évidemment pas la firme au moment de remplir le formulaire de fonctionnalités de son App ! D'après Forbes, ce n'est pas pourtant la première fois que Miller envoyait des rapports de bugs à Apple. Son dernier rapport datait même du 14 octobre. «Ca me rend dingue , explique-t-il au magazine. Je leur signale des bugs tout le temps. Le fait de faire partie du programme des développeurs me permet de le faire. Ils se font du mal, et ils me compliquent la vie.»