La société de recherche en sécurité Phenoelit vient de révéler une faille de sécurité dans le système de gestion des images jointes au courrier, chez les clients BlackBerry et leur serveur. La vulnérabilité pourrait permettre à un pirate de déclencher à distance un code malin pour contrôler le client, ou pour intercepter les mails en transit sur le serveur.

Le danger proviendrait d'images au format TIFF jointes aux mails, spécialement mises en forme pour contenir un code malin qui se déclencherait à l'ouverture du fichier, selon le communiqué de sécurité US-CERT. De son côté, RIM (Research In Motion) ne parle que d'une vulnérabilité à une attaque DoS (Denial of Service) qui pourrait empêcher le système de pièces jointes de fonctionner.

Selon le communiqué de RIM donc, il suffira à l'administrateur d'empêcher l'utilisateur de visionner des pièces jointes au format TIFF, en supprimant ce format de la liste des autorisations du serveur mail de Research In Motion. Mais selon FX, l'auteur de la découverte, le problème est légèrement plus profond, et RIM préférerait y entretenir un flou artistique le temps de trouver une solution et une mise à jour adéquate.

Selon FX, Felix Lindner de son vrai nom, le problème principal provient aussi de la manière dont les serveurs BlackBerry gèrent les images au format PNG (Portable Network Graphics). Ce problème n'existe plus dans la toute dernière version du logiciel serveur des Blackberry, mais il est présent dans toutes les versions, de la 4.0 à la 4.0.1.9. Ainsi, un pirate pourrait persuader un utilisateur d'ouvrir un fichier joint TIFF ou PNG, et déclencher à distance un code arbitraire qui prendrait le contrôle du serveur, pour intercepter par exemple tout le courrier en transit.

Les responsables de chez RIM ne se sont pas encore clairement exprimés à ce sujet, il devraient néanmoins sortir un correctif complet très prochainement, ayant déjà reconnu la faiblesse de la gestion des images TIFF officiellement.