Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser les commentaires pour donner votre avis, ou la page de contact pour nous contacter. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

iOS 12.1 : un bug permet d'accéder aux contacts d'un iPhone verrouillé

La fonctionnalité FaceTime en groupe, déployée avec iOS 12.1, a été détourné pour accéder aux contacts de n'importe quel iPhone, même verrouillé.

C'est une rengaine qui revient un peu trop souvent : à chaque sortie d'une mise à jour d'un système d'exploitation, un chercheur en sécurité informatique trouve une combinaison dans les nouvelles fonctionnalités qui permettent d'accéder à des données qui devraient rester privées. Jose Rordriguez, chercheur espagnol, a ainsi montré que la fonctionnalité FaceTime de groupe (vidéoconférence jusqu'à 32 personnes en même temps) permettait d'accéder aux contacts et à leurs informations sur un iPhone verrouillé. Vidéo à l'appui.

Comment le bug fonctionne

La méthode est très simple et peut se résumer en quelques étapes. Ne paniquez pas pour autant : elle demande tout de même d'avoir accès au smartphone attaqué et à son numéro de téléphone (vous pouvez l'obtenir si Siri a été configuré comme accessible en mode verrouillé en disant « Dis Siri, quel est mon numéro de téléphone »).

https://www.youtube.com/watch?v=ojigFgwrtKs

Nous avons reproduit 2 fois cette manipulation sur 2 iPhone de la rédaction et nous avons en effet réussi à accéder à ces données sans avoir à déverrouiller l'iPhone cible. L'attaque ne permet pas d'accéder à l'intégralité du système d'exploitation et l'attaquant a besoin du smartphone sous la main, mais elle pourrait avoir un usage pour une attaque ciblée, d'autant qu'elle est enfantine à mettre en place et n'a besoin d'aucune connaissance technique ou de matériel informatique.

Comment se protéger

En attendant un correctif d'Apple, qui a été mis au courant, vous pouvez vous protéger de manière à mitiger le danger. Par exemple, en désactivant Siri sur l'écran de verrouillage (dans FaceID et code, dans les réglages). Dès lors, si l'attaquant ne connaît pas votre numéro de téléphone, il ne pourra pas y accéder, pas plus qu'il ne pourra vous appeler en commande vocale.