iOS 7.0.6 : une faille permet d'effacer un compte iCloud sans mot de passe
Pour dissuader les voleurs d'arracher des iPhone dans la rue et de les revendre, Apple a mis en place le service "Localiser mon iPhone", qui permet non seulement de géolocaliser un appareil volé ou perdu, mais aussi en cas de besoin d'effacer tout le contenu à distance. Sans le mot de passe du compte iCloud associé à l'iPhone, le voleur n'a pas la possibilité de réinitialiser l'appareil pour le rendre "comme neuf".
Mais attention si vous n'avez pas la dernière version d'iOS. La chaîne Youtube iDeviceHelpus démontre en effet que sur iOS 7.0.6, les voleurs à l'arrachée (qui s'accaparent d'un téléphone dont le clavier n'est plus bloqué) peuvent supprimer le compte iCloud sans avoir à connaître le mot de passe. La manipulation est relativement simple.
En principe, lorsque l'utilisateur souhaite désactiver la fonction "Localiser mon iPhone", iOS affiche une boîte de dialogue qui demande le mot de passe iCloud. Mais en restant le doigt appuyé sur le bouton, il devient possible de neutraliser l'affichage de cette boîte de dialogue et d'appuyer en même temps sur le bouton "supprimer le compte", sans qu'une confirmation soit demandée. Il faut ensuite réaliser une manipulation plus complexe (à exécuter très rapidement) pour complètement désactiver le service, et supprimer le compte iCloud associé.
Le bug aurait été corrigé avec iOS 7.1 :