L’arrivée de la version iOS 6.1.3 a permis à Apple de corriger une faille de sécurité qui permettait l’accès à certaines informations personnelles via l’écran verrouillé. Problème, une brèche du même type a été détectée.
iOS 6.1.3, sitôt arrivé, sitôt percé
Apple avait publié mardi la mise à jour 6.1.3 pour iOS. Touchant aussi bien les iPhone que les iPad, elle vient régler plusieurs problèmes dont une faille exploitable depuis l’écran verrouillé. En cas de réussite, l’attaquant pouvait accéder à des données personnelles telles que les contacts ou les photos de l’utilisateur.
Dans la foulée, la firme avait fortement amélioré Plans pour tout ce qui touche au Japon. Elle avait réglé d’autres soucis techniques notamment ceux exploités par Evasi0n pour sa solution de jailbreaking qui, de fait, ne fonctionne plus.
Mais il n’aura pas fallu plus de 24 heures avant qu’une nouvelle faille fasse son apparition. Effective sur la nouvelle mouture du système mobile, elle peut être exploitée pratiquement de la même manière que la précédente.
Comme le montre la vidéo, il faut procéder à l’extraction de la carte SIM pendant que la Composition Vocal est actif. Ce dernier, l’ancêtre en quelque sorte de Siri, permet de dicter un numéro à appeler. Au moment où l’appel est lancé, l’extraction de la carte SIM provoque l’appel et bascule l'utilisateur sur l’écran de l’application Téléphone.
Contacts, historique des appels, messagerie, photos...
Et il y a effectivement ici un problème : cette application donne alors accès à tous les éléments relatifs à la fonction d’appel. On retrouvera donc les contacts, l’historique des appels et même les messages encore présents sur le répondeur. En outre, puisque l’on peut accéder aux contacts, on peut les modifier et changer notamment l’image d’identification. L’iPhone propose alors d’ouvrir la Pellicule et donne donc l’accès aux photos contenues dans le téléphone.
La vidéo a été réalisée sur un iPhone 4 et la procédure a pu être vérifiée et le résultat reproduit par plusieurs sites :
- Iphoneincanada avec l’iPhone 4
- TheNextWeb avec l’iPhone 4S
- Iphoneblog.de avec l’iPhone 5
Plusieurs informations importantes à savoir cependant. D’une part, le bug a nettement plus de chances d’être reproduit sur un iPhone 4 que les autres modèles, simplement parce que Siri n’y est pas présent. En d'autres termes, l'iPhone 4S et 5 il faudrait désactiver manuellement Siri pour rendre exploitable cette faille. Lorsque Siri est actif, il remplace automatiquement la Composition Vocal puisque la manipulation pour l’appeler est la même : un appui prolongé sur le bouton d’accueil. Pour l’instant, Siri ne semble pas affecté par ce problème.
Une protection facile à mettre en place
D’autre part, il est possible de se prémunir contre ce problème via un réglage très simple :
Il suffit dans les Paramètres de l’iPhone, puis dans Général et enfin dans Verrouillage par code. En bas de l’écran, il faudra alors désactiver la Composition Vocal, là où les possesseurs d’un iPhone 4S ou 5 verront « Siri ».
Il y a donc fort à parier qu’Apple proposera rapidement une mise à jour 6.1.4 pour iOS. Car si la faille peut être rapidement jugulée avec une mesure simple, elle n’en est pas moins dangereuse car facile à exploiter.
