Outils

A peine sorti et déjà troué : iOS6 et ses vulnérabilités

L’évènement ou non-évènement de la semaine dernière – la réponse à cette non-question divergeant selon les points de vue – était la sortie de l’iPhone 5 et la mise à disponibilité de l’iOS 6 (pour tous les iPhones). Mais à peine sorti, le système d’exploitation de la pomme connaît déjà des vulnérabilités et par conséquent, son nouveau support, l’iPhone 5. Petit tour d’horizon.

Siri tweete à votre place

Si vous avez procédé à la MAJ de votre smartphone vers l’IOS 6, vérifiez les paramètres de sécurité. Il semblerait qu’il soit tout à fait possible d’utiliser Siri pour tweeter ou mettre des messages sur Facebook grâce à Siri, même si votre téléphone est verrouillé. L’idée de départ était de permettre d’utiliser Siri pour interagir sur les réseaux sociaux, ce qui est une bonne idée. Ce qui l’est moins, c’est que même verrouillé, un inconnu peut utiliser Siri pour le faire à votre place. Pour éviter cela, rendez-vous dans Settings > General > Passcode Lock , et mettez off à côté de Siri dans la partie «  Allow access when locked ». Logiquement, pour bien faire, il faudrait tout mettre en off lorsque le téléphone est verrouillé.

Plus qu’une réelle vulnérabilité, disons qu’il s’agit d’un fail de la marque, surtout si les consommateurs ne sont pas prévenus.

Jailbreak

Grant Paul, développeur de son état, nous a fait savoir que Cydia aimait bien les grands écrans de l’iPhone 5. Pour ceux qui ne sont pas bilingue en Apple, Cydia est une sorte de répertoire d’application dédié aux iPhones jailbreakés. Cela permet d’installer des applications compatibles avec l’iPhone sans pour autant avoir besoin de l’accord d’Apple qui n’est pas fan de certains contenus.

Grant Paul

Pour autant, il faudra attendre encore un peu avant que le tutoriel du jailbreak ne soit disponible pour le grand public. Mais savoir que le nouveau bébé d’Apple est jailbreakeable à peine 24h après sa sortie mondiale montre que même les meilleurs verrous ne résistent pas longtemps face à des gens doués et déterminés.

La fausse mise à jour

En procédant à la mise à disponibilité de l’iOS6, Apple avait patché et corrigé un certain nombre de vulnérabilités. Mais la maison-mère reste bien silencieuse concernant sur celle qui pourrait être la plus importante et à ce jour, la plus dangereuse : les fausses mises à jour. Due à une erreur dans la manière dont le système d’exploitation met à jour certains fichiers de configuration, une faille permet d’autoriser des personnes malintentionnées de faire procéder à leurs victimes à des mises à jour sur leurs terminaux. La MAJ paraît provenir d’Apple, mais ne l’est pas et installe tranquillement du code malveillant, capable de changer les paramètres de sécurité de l’appareil mais également d’avoir accès à certains services comme iTunes.

Cette vulnérabilité a été découverte il y a trois ans et ne semble pas avoir de solutions à l’heure actuelle. Elle avait encore fait parler d’elle ce printemps avec Flash. Suivant une politique de l’autruche bien établie, Apple se refuse à communiquer sur les découvertes, discussions sur la sécurité de ses produits jusqu’à ce qu’une faille ne soit patchée.

La vulnérabilité concernant Safari n’a pas non plus été patchée comme m’en informe Zataz.

Ce que l’on peut retenir, c’est que pour un smartphone frôlant les 700€, il reste encore des « détails » de débutants à régler.