Le jailbreak "Pangu" présente tous les risques de se faire voler ses données

Il y a quelques jours, un groupe chinois publiait un logiciel de jailbreak nommé Pangu (rien à voir avec le pingouin pour enfant) que certains sites se sont empressés de relayer. Devant la nature assez louche du programme, nous avions alors décidé d'attendre un peu avant de le mentionner dans nos colonnes.

Il faut dire que le doute subsiste à plusieurs niveaux. Tout d'abord, le programme semble utiliser des failles volée à Stefan Esser, un hacker bien connu sur la place. Pour arrondir ses fins de mois, l'homme propose apparemment des sessions de formations dans lesquelles il révèle certaines failles permettant d'accéder à iOS et à en désactiver les sécurités. Le groupe chinois aurait utilisé ces informations -sensées rester confidentielles- pour mettre au point l'application. Du côté d'Esser, on râle sur Twitter, et l'homme n'hésite pas à accuser les programmeurs de voleurs.

Ensuite, le programme utiliserait un certificat dit entreprise qu'il installe sur chaque appareil jailbreaké. Là encore, selon toute vraisemblance, il s'agirait d'un certificat valide, mais volé à une entreprise. Il permet d'installer n'importe quelle application sur l'appareil (non jailbreaké) sans la validation d'Apple. Ces certificats sont d'ailleurs utilisés par plusieurs clones de l'App Stores qui distribuent des copies piratées (et parfois vérolées) et qu'Apple semble avoir du mal à désactiver.

Ce certificat pourrait potentiellement permettre l'installation facilitée de code malicieux (comme l'envoi de votre carnet d'adresses ou d'informations sensibles...), même s'il semble qu'il ait été intégré uniquement pour procéder plus facilement au jailbreak. Cela dit, Esser reste persuadé que le programme cache un malware quelque part, même s'il n'en a pas encore apporté la preuve.

Méfiance, donc, et comme à notre habitude, on vous déconseille fortement toute activité de jailbreak qui fait sauter toute la sécurité mise en place sur l'appareil.