Une faille permet d’accéder aux contacts et aux photos d'un iPhone sans saisir de code







Dans certaines conditions, il est possible à un utilisateur non autorisé d’utiliser Siri pour visualiser vos contacts et vos photos, sans qu’iOS ne lui demande d’entrer le code d’accès. Une faille qui semble ne concerner que les iPhone 6s et 6s Plus.

Si vous êtes propriétaire d’un iPhone 6s et 6s Plus, il est fort probable que vous soyez exposé à une faille de sécurité que vient de découvrir Jose Rodriguez, comme il le prouve dans une vidéo postée sur YouTube. Pas de panique toutefois, le scénario qui est mène à l’accès à vos contacts et vos images est très précis et requiert certains prérequis... Pour autant, avec un iPhone 6s, sous iOS 9.3.1, nous avons réussi à reproduire cette manipulation à l'identique...


- Depuis l’écran d’accueil verrouillé de l’iPhone, l’attaquant invoque Siri, grâce à la fonction Dis, Siri ou appuyant longuement sur le bouton Home.

- Il doit ensuite demander à l’assistant vocal de chercher sur Twitter. L’objectif est de trouver une adresse mail. Il suffit alors de demander à Siri de trouver « @gmail.com » ou « @yahoo.com ». Peu importe le domaine, tant qu’il est populaire et donne un résultat.

- Une fois le bon tweet trouvé, avec une adresse mail cliquable, il faut recourir à 3D Touch, exclusif pour l’instant aux 6s et 6s Plus.
- Depuis le menu contextuel qui s’affiche, l’attaquant demande à ajouter cette adresse électronique à un contact existant.

Voir la vidéo :https://youtu.be/Jk7GaO_vAW8

Dès lors, il a accès à tous les contacts contenus dans l’iPhone, sans qu’il ne soit demandé de saisir le code d’activation. Mieux, la fonction qui permet d’illustrer la fiche de contact avec une photo ouvre tout grand l’accès à la photothèque. L’intrus malintentionné peut donc consulter toutes vos photos sans encombre.





© DRJose Rodriguez, qui a déjà fait parler de lui en septembre dernier pour une trouvaille similaire, a également précisé à Apple Insider que cette faille fonctionne avec une recherche dans la liste des amis WhatsApp.

Pour se prémunir contre cette faille, en attendant un correctif de la part d’Apple, mieux vaut empêcher Siri d’accéder à Twitter depuis Réglages/Twitter. La solution la plus extrême serait évidemment de désactiver Siri, purement et simplement…