Deux minutes pour pirater un MacBook Air
L'incident a eu lieu à l'occasion de la conférence CanSecWest Security à Vancouver (Canada). Il ne s'agit pas à proprement parler d'un incident puisque le responsable du premier piratage public d'un MacBook Air est en fait l'heureux gagnant d'un concours proposé par les organisateurs de la conférence. Le défi était simple. Pour gagner, il fallait être le premier à prendre le contrôle à distance d'une des trois machines proposées par les organisateurs : un MacBook Air, un Sony Vaio et enfin un Fujitsu U810, chacun d'eux tournant sous un système d'exploitation différent (MacOS/X, Windows Vista, Linux).
Le premier jour, personne n'y est parvenu, les règles restreignant le champ d'action des candidats au niveau réseau. Mais le lendemain, les concurrents avaient la possibilité d'amener les utilisateurs des trois machines à consulter des sites Web ou ouvrir des courriers électroniques.
Prise de contrôle à distance
En deux minutes, Charlie Miller, plus connu pour le piratage de l'iPhone de l'an dernier, a réussi à conduire les utilisateurs (en l'occurrence les organisateurs du concours) sur un site qui contenait son code malicieux, ce qui lui a permis de prendre aussitôt le contrôle à distance du MacBook Air, premier système à tomber sur les trois machines à pirater.
Bien entendu, un accord de non-divulgation de la faille a été aussitôt proposé à Charlie Miller, lequel ne peut plus donner de détail sur le bogue qui lui a permis d'infiltrer aussi rapidement l'ordinateur. Mais tout laisse à penser que la faille provient du navigateur Web Safari, le concours stipulant que les candidats ne pouvaient prendre appui que sur les logiciels préinstallés sur la machine.