Au cours du sommet Black Hat 2009, les invités ont définitivement enfoncé le clou dans la pomme. Un expert en sécurité, nommé K. Chen a en effet présenté une faille de sécurité concernant un clavier de la marque, qui dispose d'un logiciel en interne.
De fait, c'est le firmware de ce périphérique qui peut être transformé de sorte que le pirate peut alors enregistrer les différentes frappes effectuées sur une machine. Un espace de stockage minime, mais présent après installation du logiciel permettrait à un pirate de pouvoir, et à distance même, tirer profit de cette vulnérabilité.
Petite subtilité : si on venait alors à le connecter à une autre bécane, le clavier deviendrait alors un keylogger, à même de mémoriser tout ce qui est tapé. Tout se joue sur un code qui occupe 7 ko sur les 8 ko de mémoire flash du logiciel, et en s'appuyant sur le dernier ko restant, la faille peut être aisément exploitée.
À travers un vaste document, Chen a ainsi montré que si aucun outil de vérification n'était installé, et ce, même au démarrage de la machine, permettant de s'assurer de l'authenticité du logiciel, des risques certains pour la sécurité étaient encourus. Et chose amusante, Apple ne semble pas prendre en compte les informations balancées par l'intéressé.
Chen affirme avoir pris contact avec Cupertino, pour proposer une solution à cette faille, mais resterait sans réponse pour l'heure. On pourra découvrir au choix les documents techniques relatant la faille, à cette adresse, ou se laisser bercer par la vidéo ci-dessous.
De fait, c'est le firmware de ce périphérique qui peut être transformé de sorte que le pirate peut alors enregistrer les différentes frappes effectuées sur une machine. Un espace de stockage minime, mais présent après installation du logiciel permettrait à un pirate de pouvoir, et à distance même, tirer profit de cette vulnérabilité.
Petite subtilité : si on venait alors à le connecter à une autre bécane, le clavier deviendrait alors un keylogger, à même de mémoriser tout ce qui est tapé. Tout se joue sur un code qui occupe 7 ko sur les 8 ko de mémoire flash du logiciel, et en s'appuyant sur le dernier ko restant, la faille peut être aisément exploitée.
À travers un vaste document, Chen a ainsi montré que si aucun outil de vérification n'était installé, et ce, même au démarrage de la machine, permettant de s'assurer de l'authenticité du logiciel, des risques certains pour la sécurité étaient encourus. Et chose amusante, Apple ne semble pas prendre en compte les informations balancées par l'intéressé.
Chen affirme avoir pris contact avec Cupertino, pour proposer une solution à cette faille, mais resterait sans réponse pour l'heure. On pourra découvrir au choix les documents techniques relatant la faille, à cette adresse, ou se laisser bercer par la vidéo ci-dessous.
