Un méchant ver dans l'iPhone

par Camille Gévaudan
publié le 25 novembre 2009 à 17h51
(mis à jour le 26 novembre 2009 à 11h08)

Ce n'était plus qu'une question de temps. Après plusieurs alertes de sécurité et quelques intrusions relativement inoffensives depuis le début du mois, les iPhones et iPods Touch «jailbreakés» sont pour la première fois victimes d'un ver malveillant. Il a même un petit nom : «Duh».

La manipulation du jailbreak consiste à neutraliser le système de sécurité prévu par Apple et débrider le téléphone, pour pouvoir y installer des applications tierces non disponibles sur l'App Store. Il est alors possible d'accéder aux fichiers stockés dans le téléphone et d'y envoyer documents et programmes à partir d'un ordinateur, via un réseau wifi. Cette connexion entre ordinateur et iPhone passe par le service SSH, un protocole normalement sécurisé par un échange de clés de chiffrement. Mais, pour une communication plus aisée entre les deux machines, seul le mot de passe administrateur du téléphone est nécessaire dans le cas d'un jailbreak . Fort pratique, mais également fort dangereux car le mot de passe configuré par Apple est connu du monde entier. Par défaut, c'est «alpine». Tous les sites Internet publiant des modes d'emploi de jailbreak le connaissent et le publient ; peu d'entre eux conseillent aux utilisateurs de le modifier. Le résultat, fâcheux, est que mis à part une poignée de geeks éclairés qui comprennent les tenants et aboutissants de leurs manipulations techniques, les possesseurs d'iPhone jailbreakés ignorent qu'ils gardent dans leur poche, en permanence, un appareil dont tout Internet connaît le mot de passe d'accès.

Les deux premiers vers pour iPhone

Le premier hacker à profiter de la faille s'est manifesté début novembre. Il a lancé des tentatives de connexion en grand nombre sur le réseau T-Mobile aux Pays-Bas, pour installer sur tous les iPhones qu'il parvenait à atteindre un fond d'écran déguisé en message d'avertissement : «Votre iPhone a été hacké car il est très peu sécurisé ! Visitez doiop.com/iHacked pour sécuriser votre iPhone immédiatement ! En ce moment même, je peux accéder à toutes vos données.» Le site conseillé expliquait aux utilisateurs comment sécuriser le téléphone... contre 5 euros. Le hacker a rapidement changé d'avis et publié gratuitement l'astuce sur un autre site , en s'excusant auprès des internautes arnaqués.

Une semaine plus tard, c'est un petit rigolo qui reprenait le flambeau en «balayant des plages d'adresses IP» , selon l'explication du chercheur Mikko H. Hypponen, pour trouver les iPhones et iPods Touch vulnérables et « rickroller » leurs possesseurs avec un fond d'écran à l'effigie du chanteur Rick Astley. Plutôt drôle et inoffensif, voire même bienveillant, puisque le créateur du ver désactivait le service SSH par la même occasion pour empêcher les intrusions futures.

Le ver «Duh», quant à lui, est clairement malveillant. Son fonctionnement est expliqué par la société de sécurité informatique Sophos : se propageant à la fois sur les réseaux 3G et wifi, il commence par modifier le mot de passe du téléphone (et ainsi empêcher que son propriétaire ne reprenne le contrôle de la situation), avant de transformer l'appareil en une véritable machine «zombie» obéissant à un serveur lituanien. Le ver semble chercher en priorité à récupérer les «mTAN», ces codes à usage unique de plus en plus souvent utilisés par les banques, qui l'envoient par SMS pour autoriser une transaction.

Duh ne voyage que sur les réseaux téléphoniques UPC (aux Pays-Bas), Optus (en Australie) et T-Mobile, épargnant pour l'instant la France. Le principal symptôme de l'infection est un déchargement de batterie anormalement rapide lorsque l'accès au réseau wifi est activé, dû à la quantité d'informations transitant par l'appareil à l'insu du propriétaire. Pour neutraliser le ver, deux solutions : restaurer le système Apple d'origine via iTunes, ou supprimer le dossier infecté en suivant les instructions de Sophos . Leurs chercheurs ont réussi à découvrir le nouveau mot de passe administrateur choisi par le créateur de Duh : «ohshit».

Sur le même sujet :

G kc ton ifone (06/07/09)

Lire les réactions à cet article.

Pour aller plus loin :

Dans la même rubrique

Les plus lus