Failles dans iOS 7 : contacts et pièces-jointes accessibles sans code

07 mai 2014 à 14h37
0
iOS est à nouveau victime d'une faille permettant d'accéder à des données personnelles via Siri. On a également récemment découvert que les pièces-jointes des emails n'étaient pas chiffrées, contrairement à ce qui était prévu.

0000019006654932-photo-iphone-5s-sur-cran-de-verrouillage.jpg

Accéder au carnet d'adresses d'un iPhone verrouillé

L'assistant vocal Siri est encore une fois plus permissif qu'il ne devrait l'être. Un développeur indépendant a effectivement révélé lundi une nouvelle méthode permettant de passer outre le verrouillage d'un terminal exécutant iOS 7.1.1. Cette fois on peut accéder au carnet d'adresses d'un iPhone puis lancer un appel vers un des correspondants, et découvrir son numéro au passage.

Lorsque l'iPhone est verrouillé et qu'on demande à accéder aux contacts via Siri, il réclame légitimement un déverrouillage. Mais si on demande à lancer un appel, sans plus de précision, on peut compléter la requête d'un prénom. Siri renvoie alors une liste de contacts qui correspondent, mais il permet aussi de choisir n'importe quel autre, en affichant pour cela le carnet d'adresses à l'écran.

La méthode fonctionne plus ou moins, y compris sur iPad et iPod Touch, avec d'autres requêtes partielles, comme l'envoi de message ou d'email. Mais dans ces cas les coordonnées personnelles du contact ne sont pas révélées.

La vidéo ci-dessous illustre la marche à suivre. Siri étant régulièrement le maillon faible d'iOS, pour renforcer la sécurité de son terminal on peut le désactiver en mode verrouillé (dans Réglages > code).

00F0000007345826-photo-d-sactiver-siri-en-mode-verrouill-sur-ios-7.jpg


Les pièces-jointes supposées chiffrées ne le sont pas

Dans un autre registre, un expert en sécurité a découvert le mois dernier une autre faille, et l'a rendue publique. Celle-ci permet d'accéder aux pièces-jointes des emails d'un terminal exécutant iOS 7, alors qu'elles devraient être chiffrées.

00F0000007345828-photo-donn-es-chiffr-es-sur-ios-7.jpg

Un individu peut récupérer un terminal iOS verrouillé, accéder à sa mémoire interne via plusieurs méthodes existantes, puis accéder aux pièces-jointes, qui sont stockées en clair. Tous les comptes sont affectés, qu'ils utilisent POP, IMAP ou Exchange, et vraisemblablement toutes les versions d'iOS 7.

Contacté par l'expert, Apple aurait répondu qu'il avait connaissance de ce problème, mais il n'a pas indiqué quand il serait résolu. La faille existe au moins depuis iOS 7.0.4, c'est-à-dire depuis plus de cinq mois et demi.

Articles relatifs
Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

La centrale nucléaire de Fessenheim va être arrêtée ce samedi en vue de son démantèlement
L'éolien a, en 2019, fourni 15% de l'électricité consommée en Europe
Le Cybertruck aurait passé le cap des 500 000 précommandes
La Renault ZOE est une des voitures électriques les plus vendues au monde
Uber ferme son bureau de Los Angeles, écarte des dizaines de salariés et délocalise aux Philippines
Comment l'Unreal Engine a permis de créer l'univers de The Mandalorian
La France et l'Allemagne s'associent pour travailler sur le successeur du Rafale et de l'Eurofighter
5G : Martin Bouygues n'exclut pas d'attaquer l'État en justice s'il ne peut pas travailler avec Huawei
L'Espagnol Renfe va bâtir le réseau TGV des États-Unis pour 6 milliards de dollars !
Windows 10 : de nouvelle icônes plus colorées font leur apparition

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

scroll top