La sécurité iPhone montrent des faiblesses via Siri et iCloud

AuthentificationRisquesSécurité
iphone-securite
4 22

Deux cas distincts de contournement de la sécurité de l’iPhone remontent: l’un via Siri pour fouiller dans un iPhone inconnu, l’autre via iCloud qui aspire l’historique des appels.

La sécurité de l’iPhone vient d’être remis en cause récemment à deux reprises sous des angles distincts.

L’écran de verrouillage d’un iPhone ne garantit pas sa protection en cas d’usage indélicat selon des vidéos diffusées sur YouTube à la mi-novembre (chaînes EverythingApplePro et iDeviceHelp).

Il faut quelques conditions pré-requises pour contourner la sécurité d’un terminal sous iOS 10.2 dont un accès physique au smartphone et l’assistant numérique Siri activé sur l’écran de verrouillage.

Les interactions incongrues aux fonctions paraissent importantes selon Ubergizmo : la manipulation permet d’accéder aux photos et aux contacts, à en croire les démos vidéo.

Si vous récupérer un iPhone, il suffit d’exploiter l’assistant Siri. Comment ça marche ? Imaginons que vous disposez d’un côté d’un iPhone en main qui ne vous appartient pas et de l’autre votre iPhone légitime.

Via le téléphone mystérieux, formulez la requête suivante à à Siri («  »Who am I », « Qui suis-je ? » en français) sans passer par le mode déverrouillage. L’assistant vocal vous fournit d’emblée le numéro de téléphone de l’iPhone inconnu. Prenez votre propre téléphone et demandez à entrer en contact avec ce « numéro pêché » via une session FaceTime par exemple.

Ensuite, il faudra exploiter la fonction Voice Over via Siri pour explorer davantage le contenu de l’iPhone mystère. Quelques manipulations (pas vraiment naturelles mais elles existent) vous permettent ensuite d’accéder aux contacts et aux photos.

Pour éviter tout désagrément, il suffit de désactiver Siri sur l’écran de verrouillage.

Que fait Apple avec l’historique des appels via iPhone ?

Un autre souci relatif aux modèles iPhone sous iOS 9 est encore plus troublant. L’alerte provient de l’éditeur russe ElcomSoft (récupération des mots de passe, investigation numérique…), amplifiée par The Intercept (via TechWeekEurope).

L’historique des appels issus des détenteurs d’iPhone est envoyé sur les serveurs d’Apple, une fois le service iCloud (stockage des photos, vidéos, documents…) enclenché, selon une contribution blog d’Oleg Afonin, chercheur d’ElcomSoft, en date du 17 novembre.

Dans les logs récupérés figurent la liste des appels émis et reçus associés aux numéros de téléphone, la date et l’heure de la communication et la durée de l’échange. Le même scénario se produit avec les sessions de vidéoconférence FaceTime.

Là aussi, la seule façon pour en sortir consisterait à se désynchroniser d’iCloud.

ElcomSoft perçoit à travers cette technique d’aspiration de données en mode camouflage un canal de cyber-surveillance qui facilite la tâche des agences de renseignement et des forces de police.

Pourtant, Apple avait pris la posture d’éviter une collaboration rapprochée avec le FBI lors d’une enquête terroriste au nom du respect de la confidentialité des détenteurs de terminaux iPhone mise en exergue dans l’argumentation commerciale de la « Marque à la pomme ».

(Crédit photo : iDeviceHelp)


Lire la biographie de l´auteur  Masquer la biographie de l´auteur