Avec Siri et 3D Touch, une manipulation pour contourner le code de verrouillage
Les tentatives de contournement du code de verrouillage ou de Touch ID sont nombreuses et certaines sont parfois tellement farfelues qu’elles ne fonctionnent pas du tout (lire : Écran verrouillé : ces failles qui n'en sont pas). Cependant, il y en a au moins une qui fonctionne, et elle concerne les iPhone 6s et 6s Plus — car 3D Touch est ici nécessaire. Pour pouvoir accéder aux photos ou aux contacts d’une victime, c’est relativement simple, pour peu qu’elle utilise Siri.
Lancez ou dites « Dis Siri », puis demandez « Rechercher sur Twitter ». L’idée est de trouver un tweet qui contient une adresse e-mail. Dites « gmail.com » ou « yahoo.com », ou n’importe quel domaine de courriel. Une fois la main sur le tweet, appuyez fort sur l’adresse e-mail en question, ce qui lancera le menu contextuel 3D Touch.
En tapotant ensuite sur Ajouter à un contact existant, vous obtiendrez la liste des contacts de l’iPhone ; en tapotant sur Nouveau contact puis en demandant à Ajouter une photo, on accèdera à la galerie photos de l’appareil. La manipulation fonctionne sous iOS 9.3.1.
En attendant qu’Apple trouve une solution au problème, il existe deux manières de protéger ses données. La première est de désactiver Siri dans les réglages de Twitter ; la seconde est de faire de même pour Photos (Confidentialité > Photos) :
On aura bientôt droit à une mise à jour.
J'ai toujours du mal avec ces news qui détaillent comment contourner la sécurité d'un iPhone.
Pourquoi ne pas juste dire qu'il existe une "nouvelle" faille pour accéder aux photos et contacts mais que pour s'en prémunir il suffit de faire comme expliqué dans le dernier paragraphe ?
Parce que là ça revient à faire un tutoriel pour accéder aux données de son/sa collègue, camarade ou je ne sais quoi...
@iEric :
+1...
Surtout que c'est pas des masses intéressant (à part pour les petites copines hypra jalouses qui ont une passion pour la fouille de téléphone)
@iEric :
C'est vrai que c'est douteux comme méthode et je partage ton point de vue, mais d'un côté répandre la méthode poussera Apple à la corriger au plus vite...
@iEric :
Ça permet surtout à Appl€ de ne pas prendre son temps comme à son habitude
Et si Siri est étalonné sur notre voix?
@iEric +1
Je me demande toujours comment a fait la personne qui a trouvé la manipulation... Alors que pour déverrouiller un iPhone, il y a beaucoup plus simple : il faut charger son iPhone trois fois, puis le laisser décharger jusqu'à 34%. Il ne faut surtout pas rester sur un réseau 4g, ce qui signifie que seuls les utilisateurs de Free mobile peuvent utiliser cette méthode. Avec la luminosité au maximum, le Bluetooth activé et l'écran allumé, verrouillé en paysage, il faut successivement appuyer sur : +, +, -, -, Home, zone de l'écran à gauche, à droite et en haut, secouer trois fois le téléphone, dire "Hey Siri" en cachant le micro avec sa main droite (la main gauche active le mode accessibilité', donc attention !), puis le bouton d'allumage. Si l'écran s'éteint, il faut tout recommencer, à partir des trois charges. Idem si l'IPhone n'est plus chargé à 34%.
@ludmer67 :
"réseau 4g, ce qui signifie que seuls les utilisateurs de Free mobile peuvent utiliser cette méthode."
La couverture 4g FREE n'a plus grand chose à envier aux autres, et surtout à Sfr.
@ludmer67 :
C'est en effet très simple!
Ridicule.
@ludmer67 :
Une pensée à ceux qui vont essayer ta méthode ^^
C'est malin, vous venez de dévoiler le backdoor laisser par Apple pour le FBI :-)...aux moins Apple avait raison sur une chose, c'est qu'une backdoor ne tient pas longtemps :-)
Un architecte italien voulait acceder aux photos de son fils decedé, il n a plus qu a acceder a cette methode.
Cela ne fonctionne pas si il y a un code de déverrouillage
@MickaëlBazoge :
Et pourquoi vous avez pas fait votre propre vidéo alors ?
Gros fake encore
Uniquement si Siri reconnaît la voix de son proprio, si c'est un tiers, ça s'arrête là. Raison pour laquelle il vaut mieux aussi activer cette fonctionnalité dans les préférences de Siri.
Je n'ai pas Siri sur Twitter ni la possibilité de l'activer pour cette utilisation, ni Siri qui se déclenche si l'iPhone est verrouillé... donc cette faille ne s'applique guère dans mon cas.
Normalement l'ordre " dit Siri " est étalonné sur la voix du proprio de l'iPhone.... Donc cette faille est un fake dès la première manip
Des que je dis "Dis Siri, recherche sur Twitter" il me demande de déverrouiller mon iPhone donc aucun problème chez moi ...
D'ailleurs la rédaction de Mac4ever n'a pas réussi à le reproduire non plus
Je précise que j'ai un iPhone 6S Plus sous 9.3.1
Ok merci pour l'info Mickaël
je dois déverrouiller l'iPhone pour effectuer la recherche via Siri donc pas de problème pour moi (v9.3.1)
Ouais ça marche pas sur mon 6s non plus, il me demande le code de déverrouillage.
Encore un fake de faille de sécurité.
Mon 6s me demande déverrouiller mon iphone (iOS 9.3.1) si je lui demande une rechercher sur Twitter.
@Chris K :
Pour moi sur iPhone 6S (iOS 9.3.1) "Recherche Gmail.com sur Twitter" me demande de déverrouiller mon téléphone par code ou touchID avant
La faille paraît inopérante....
Mais si je séquence la demande "recherche sur Twitter" alors Siri me demande que rechercher puis le comportement est celui décrit dans l'article : je prends la main sur les contacts puis les photos sans avoir déverrouiller le téléphone...
@Pascal-Laurent : je ne m'y prends peut-être pas correctement (pourtant j'ai suivi la vidéo), mais même en séquençant la demande, iOS me réclame systématiquement de dévérouiller le terminal.
@Chris K :
Eh oui, je viens de retenter du coup et j'obtiens la demande déverrouillage même en divisant la demande en étape... Comme j'aime bien comprendre... Me suis interrogé et j'ai compris. La première fois que j'ai tenté en séparant la demande, j'ai activé Siri avec le bouton principal ce qui bien sûr avait déverrouillé le téléphone !
En l'activant à la voix, sans toucher au bouton, alors là comme vous, j'obtiens systématiquement la demande du déverrouillage du téléphone : demande en plusieurs étapes ou pas.
Faille inactive ici donc. Aucun malandrin ne pourra déverrouiller le téléphone avec son empreinte via le bouton pour interroger Siri...
Y-a-t-il vraiment une faille ?
@Pascal-Laurent :
Y-a-t-il vraiment une faille ? Ou s'agit-il d'un bug ?
Une chose m'interpelle : dans mes réglages Twitter il n'y a aucune option Siri (contrairement à ce que montre la capture écran de l'article). L'item Siri est absent chez moi.
@Chris K :
Pareil
Moi sur iPhone 6s Plus, iOS 9.3.1, j'ai le bug en effet. Pas de code demandé
Une autre possibilité ne pas utiliser Twitter
Ça fonctionne sur mon 6s.
La moindre porte devient une faille si l'on y prête garde.
Il ne faudrait simplement pas autoriser Siri lorsque la bête est verrouillée, fauf à pouvoir utiliser un code vocal.
Il faut aussi Twitter ...
Pour contourner le code c'est très simple, il suffit de laisser son doigt appuyé sur le bouton home, puis de demander à Siri d'ouvrir l'application Appareil photo par exemple. Une fois l'application ouverte il suffit de la refermer et le téléphone est déverrouillé. C'est pas très compliqué, c'est une faille puisque l'iPhone ne reconnaît pas la voix de son maître.
D'ailleurs, en parlant de contournements utilisant Siri, j'ai récemment découvert qu'on pouvait s'en servir pour activer Night Shift même avec le mode économie d'énergie actif !
En tout cas pour l'instant ;)
On peut désactiver siri sur l'écran verrouillé, sans le désactiver totalement
Viens de tester sur mon 6s+ et le hack ne fonctionne pas. Siri demande de déverrouiller le téléphone pour faire une recherche sur Twitter.
J'ai un mot de passe alphanumérique c'est peut-être ça ?