Le mot du blog : La sécurité les gars !!! La sécurité !!!

C’est, contrairement à ce qu’on peut lire ici et là, ni une faille de sécurité, ni un virus, ni un « on vous avait prévenus le jailbreak say d’la meurde ! ». Nope c’est juste une question de bon sens mise en évidence par un « hacker » qui a joué un peu le week end dernier en le testant dans le vrai monde :

jailbroken_iphone_hacked_intro

On commence par le début :

Le SSH, qui N’EST PAS ACTIVE PAR DEFAUT LORS DU JAILBREAK, c’est ce qui vous permets (entre autre) de bidouiller au coeur de l’iPhone. Il est utilisé par exemple dans ce tuto ou je vous expliquais comment changer la sonnerie des mails sur un iPhone. Bref, pour le commun des mortels, ça ne sert qu’à bidouiller des fichiers via un client FTP. Mais problème, c’est qu’en étant logué en SSH via un Terminal (au hasard) on peut plus ou moins faire ce qu’on veut. Or le login par défaut lorsqu’on installe le module SSH, c’est « root » et le mot de passe « alpine », et comme le geek est par nature flemmard (parce que sinon il claquerait pas toute sa thune dans des geekeries faisant le boulot à sa place 🙂 ) bien souvent, le mot de passe reste inchangé. Et ça s’pas bien !

Donc en gros, avec le SSH activé, vous avez une porte d’entrée (un port) ouverte, et si vous n’avez pas changé le mot de passe, vous laissez les clefs de la maison sur la serrure.

Ce qui est dangereux quand on sait que l’iPhone est connecté en permanence c’est qu’un simple sniffage (un scan des ports ouverts sur une tranche d’IP que l’on sait « iPhonesque ») permet de trouver ceux avec le SSH actif. Ensuite, dans une proportion non négligeable, avec le combo login/mot de passe « root/alpine », c’est le bingo assuré : accès à toutes les données du téléphone, agenda, contacts, mails, musiques, photos, mais aussi, avec les bonnes commandes, envoi de SMS, mail, génération d’appel, mise sur écoute…)

Bref le SSH c’pas pour rigoler, donc il faut A TOUT PRIX changer le mot de passe root. Et pour le faire, tout est expliqué dans le « OPEN SSH » how to en page d’accueil de Cydia. C’est très simple (même si il faut pas faire n’importe quoi) et ça ne vaut pas le coup de faire un tuto tellement c’est couvert des milliers de fois sur la toile 🙂 . Mais faut vraiment que vous changiez ce mot de passe si vous avez encore celui d’origine.

Via

13 commentaires

  1. Alienz dit :

    OMG ! Le truc de base total forget, merci beaucoup Klaki ! Avoir une marque d’autoradio en pwd c’était middle !

  2. AA dit :

    est ce que tu sais si le fait de rejailbreak l’iphone demande de rechanger ce maudit password admin ?

  3. Fran6LaSau6 dit :

    On dit « bingo »! (Inglourious Basterds)

  4. Gizmo dit :

    C’est con, mais fallait y penser 😉

  5. Chris dit :

    meme question que AA mais question tout de meme, jai juste jailbreaker mon V1 pour le débloquer et pouvoir appeler, donc jai pas installer cydia, je dois tout de meme changer le password ?

  6. Eric dit :

    @aa : Si tu n’a jamais installer le module SSH non, y a aucun probleme. Sinon a chaque réinstallation il faut le changer mais ça ne prend que quelques secondes
    @Chris : Non, si t’as pas cydia, a fortiori tu n’as pas installé SSH donc no-problemo. 🙂

  7. Chris dit :

    Super merci pour la réponse 🙂 si un jour je jailbreak et que j’installe le tout je serais se qui me reste à faire. thx pour la news ^^

  8. dit :

    C’est bon à savoir en vue de la future acquisition. Merci klaki

  9. Michel dit :

    bonjour, j’ai un iphone 3gs et par sécurité j’ai changé ma password pour la connéxion ssh, le problème c’est que je ne me souvient plus de cette password. Il y t’il un astuce pour la retrouver ou eventuellemnt de la remplacer??? merci pour vos réponses.

  10. Olivia 06 dit :

    Bonjour, c’est gentil de nous prévenir. Mais par contre coté toile ils oublient certains problème sur le net et j’aurais besoin de votre aide.

    J’ai jailbreaké mon iphone en sachant qu’il fallait le proteger aprés, sauf que c’est noté nulle part que mobile terminal et bossprefs ne marche pas encore sur les firmware 4.0.1!!!
    Et de passer par mon pc par putty ne fonctionne pas je tombe au moment ou je valide alpine (root en utilisateur bien sûr) sur une erreur de login.
    PDF patch est introuvable sur cyndia… Bref je cherche depuis cet aprem à protéger mon Iphone 3GS new bootroom et firmware 4.0.1 jailbreaké par jailbreakme et c’est insolvable!!

  11. Eric dit :

    Oula bah bosspref ça fait un moment qu’il fonctionne plus. C’est sbsetting qui le remplace. Et pour installer le ssh t’as un tut complet en home de cydia. 🙂

  12. Olivia 06 dit :

    Bonsoir, j’ai fini par trouver PDF patch et effectivement aprés qd on retourne sur jailbreakme on ne voit plus la fenetre s’ouvrir. Mais est-il suffisament protégé avec ça? Du coup je laisse le WIFI sur off. Pouvez vous m’éclairer?

  13. rami dit :

    bonjour j’ai un ipodtouch 2g jailbreak au firmware 4.2.1 mais sa me quitte la page a chaque fois que j’ouvre terminalmobile,et openSSH aidez moi svp !!

Commenter






× 3 = vingt quatre

Page optimized by WP Minify WordPress Plugin