iOS est à nouveau victime d'une faille permettant d'accéder à des données personnelles via Siri. On a également récemment découvert que les pièces-jointes des emails n'étaient pas chiffrées, contrairement à ce qui était prévu.
Accéder au carnet d'adresses d'un iPhone verrouillé
L'assistant vocal Siri est encore une fois plus permissif qu'il ne devrait l'être. Un développeur indépendant a effectivement révélé lundi une nouvelle méthode permettant de passer outre le verrouillage d'un terminal exécutant iOS 7.1.1. Cette fois on peut accéder au carnet d'adresses d'un iPhone puis lancer un appel vers un des correspondants, et découvrir son numéro au passage.
Lorsque l'iPhone est verrouillé et qu'on demande à accéder aux contacts via Siri, il réclame légitimement un déverrouillage. Mais si on demande à lancer un appel, sans plus de précision, on peut compléter la requête d'un prénom. Siri renvoie alors une liste de contacts qui correspondent, mais il permet aussi de choisir n'importe quel autre, en affichant pour cela le carnet d'adresses à l'écran.
La méthode fonctionne plus ou moins, y compris sur iPad et iPod Touch, avec d'autres requêtes partielles, comme l'envoi de message ou d'email. Mais dans ces cas les coordonnées personnelles du contact ne sont pas révélées.
La vidéo ci-dessous illustre la marche à suivre. Siri étant régulièrement le maillon faible d'iOS, pour renforcer la sécurité de son terminal on peut le désactiver en mode verrouillé (dans Réglages > code).
Les pièces-jointes supposées chiffrées ne le sont pas
Dans un autre registre, un expert en sécurité a découvert le mois dernier une autre faille, et l'a rendue publique. Celle-ci permet d'accéder aux pièces-jointes des emails d'un terminal exécutant iOS 7, alors qu'elles devraient être chiffrées.
Un individu peut récupérer un terminal iOS verrouillé, accéder à sa mémoire interne via plusieurs méthodes existantes, puis accéder aux pièces-jointes, qui sont stockées en clair. Tous les comptes sont affectés, qu'ils utilisent POP, IMAP ou Exchange, et vraisemblablement toutes les versions d'iOS 7.
Contacté par l'expert, Apple aurait répondu qu'il avait connaissance de ce problème, mais il n'a pas indiqué quand il serait résolu. La faille existe au moins depuis iOS 7.0.4, c'est-à-dire depuis plus de cinq mois et demi.
C'est vers l'âge de 12 ans, lorsque j'ai reçu mon premier ordinateur (un Pentium 100), que j'ai décidé d'abandonner ma prometteuse carrière de constructeur de Lego pour me consacrer pleinement à ma no...
C'est vers l'âge de 12 ans, lorsque j'ai reçu mon premier ordinateur (un Pentium 100), que j'ai décidé d'abandonner ma prometteuse carrière de constructeur de Lego pour me consacrer pleinement à ma nouvelle passion pour l'informatique.
Depuis je me suis aussi passionné pour l'imagerie en général et pour la photo en particulier, mais je reste fan de sujets aussi obscurs que les procédés de fabrication de composants électroniques ou les microarchitectures de processeurs, que l'infiniment grand et l'infiniment petit.
Je suis enfin foncièrement anti-DRM et pro-standards ouverts.
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
