"L'attaque peut se dérouler en 2 étapes : la première consiste à inviter une personne à visiter un site internet via son iPhone, iPad ou iPod. Ce site est chargé de détecter le modèle et la version de l'appareil Apple puis de rediriger automatiquement l'utilisateur vers un fichier PDF piégé exploitant une première faille de sécurité liée à la lecture de documents PDF", a indiqué le Pdg de Vupen Security, Chaouki Bekrar. "Une fois la première étape réussie, une deuxième faille de sécurité est exploitée au sein (du système d'exploitation) de l'appareil" ce qui permet "de prendre le contrôle total de l'appareil", a-t-il poursuivi.
Les iPhone et iPad "sont globalement assez sûrs", mais "à cause de leur popularité", ils "deviennent une cible privilégiée pour les attaquants", a-t-il expliqué. "Il n'est donc pas exclu d'observer, d'ici les prochains mois, une recrudescence des attaques informatiques ciblant ces appareils", a estimé M. Bekrar.
L'annonce est prise au sérieux en France : le Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques (CERTA) a émis un "bulletin d'alerte" à propos des failles. Contacté par l'AFP, Apple n'a pas réagi dans l'immédiat.
Ces failles ont été découvertes par le site www.jailbrakeme.com, qui permet de débloquer le système fermé de ces appareils afin que ses propriétaires puissent télécharger des applications en dehors de la plateforme officielle de la marque à la pomme, l'App Store. "Des personnes malintentionnées pourraient modifier le code original afin de remplacer le +jailbreaker+ par un programme plus dangereux permettant par exemple l'écoute des communications téléphoniques ou l'envoi de messages à l'insu de l'utilisateur de l'iPhone", a souligné M. Bekrar.
Il a assuré avoir été informé qu'une mise à jour d'Apple "devrait être disponible d'ici les prochaines semaines". "En attendant le correctif d'Apple, il est recommandé la plus grande prudence lors de l'ouverture de fichiers au format PDF", conseille le CERTA.
AFP/VNA/CVN