Après un iOS 26 faible en nouveautés au niveau de l’intelligence artificielle, Apple devrait mettre le paquet avec iOS 27. MacRumors a repéré quatre nouvelles fonctions liées à Apple Intelligence dans le code du backend d’Apple. Celles-ci concernent des aspects variés du système.

Cupertino voudrait améliorer son intelligence visuelle, apparue avec l’iPhone 16 et qui a même son bouton dédié sur les iPhone récents. La fonction permet actuellement d’obtenir des informations sur ce qui est pointé par l’appareil photo, comme les animaux, les plantes ou les entreprises. Elle peut être couplée à ChatGPT pour des résultats plus précis.

Découverte de Visual Intelligence, bien aidé par ChatGPT dans la première bêta d’iOS 18.2

L’intelligence visuelle devrait gagner deux fonctions, à commencer par la reconnaissance des informations nutritives sur les emballages. On pourra ainsi les scanner pour rapidement obtenir des informations claires, qui pourraient s’intégrer à Santé. De plus, la fonction pourrait servir à ajouter les numéros ou les adresses vues dans ses contacts (elle se limite actuellement au calendrier).

L’application Cartes pourrait s’enrichir d’une fonction générant des pass personnalisés. Par exemple, il serait possible de s’en servir pour les tickets de concerts ou pour les badges de gym dématérialisés. Un ajout pratique pour les services récalcitrants à Cartes. Enfin, Safari s’enrichirait d’une fonction renommant les groupes d’onglets grâce à l’IA en se basant sur leur contenu.

MacRumors explique ici faire une interprétation des lignes de codes, ce qui signifie que certaines de ces fonctions pourraient changer. Difficile également de savoir quand seront lancés les nouveautés, mais on peut imaginer que tout cela sera révélé en même temps qu’iOS 27 à la prochaine WWDC.

Les rumeurs sur iOS 27 commencent à être nombreuses. Beaucoup affirment qu’il s’agira d’une année « Snow Leopard » visant à faire la chasse aux bugs et à optimiser le système. Le nouveau Siri serait sinon la star du show, l’assistant carburant désormais à l’intelligence artificielle. Santé aurait droit à une refonte, et le Liquid Glass pourrait être plus paramétrable.

L'iPad Air M3 dans sa version de base avec 128 Go de stockage s’affiche aujourd'hui à 529 € en coloris gris sidéral. C’est un nouveau record pour cette machine qui, malgré l'arrivée de sa successeure, n'a absolument rien d'une antiquité. À titre de comparaison, le nouvel iPad Air M4 est facturé 669 € sur l'Apple Store. Même en allant fouiller du côté de chez Amazon Allemagne — souvent généreux sur les rabais — le modèle M4 ne descend pas sous les 595 €.

L'écart de prix commence à devenir franchement significatif pour des différences qui, à l'usage quotidien, resteront invisibles pour l'immense majorité des utilisateurs. Certes, le passage au M4 apporte le Wi-Fi 7 et une louche de RAM supplémentaire (12 Go contre 8 Go), mais la puce M3 reste une bête de course pour iPadOS. Que ce soit pour du montage vidéo léger, de la retouche photo ou simplement pour dévorer du contenu, l'économie de 140 € par rapport au prix public du dernier modèle est un argument massue.

Test des iPad Air M3 : ils ne manquent pas d’air

L’iPad Air M3 offre un rapport performance/prix très avantageux pour qui souhaite s’équiper d’un modèle « Air » sans payer le prix fort, bien que la remise soit limitée au coloris gris sidéral. Comme souvent lors de promotions importantes chez Amazon, les stocks risquent d’être limités. Si vous envisagiez de renouveler votre équipement ce mois-ci, cette offre mérite votre attention.

Nouvelle boulette pour les équipes de vérification de l’App Store. Celles-ci ont laissé passer l’application Freecash qui, comme son nom l’indique, promettait de gagner de l’argent sans effort simplement en scrollant TikTok, en remplissant des sondages ou en jouant à des jeux. Conçue autour d’un modèle mêlant collecte de données sensibles, visionnage publicitaire et redirection vers des jeux mobiles, elle s’est hissée au sommet des classements de l’App Store, où elle est restée plusieurs mois avant d’être supprimée.

Selon Malwarebytes, l’application pouvait collecter des informations sur l'origine ethnique, la religion, la vie sexuelle, l'orientation sexuelle, la santé et d'autres données biométriques des utilisateurs. Malwarebytes explique que ce profilage visait à inciter les utilisateurs à regarder des pubs ou à installer des jeux mobiles pour y dépenser de l'argent. Le rapport cite des titres comme Monopoly Go ou Disney Solitaire.

L’app s’est fait connaître grâce à de nombreuses pubs sur TikTok, ce qui lui a permis de devenir temporairement la seconde application la plus téléchargée sur l’App Store américain. Cependant, TikTok a levé le pied sur les pubs en début d’année suite à des articles montrant que Freecash utilisait des techniques de marketing trompeuses et qu’elle incitait à dépenser de l’argent dans des jeux.

Freecash a tout de même réussi à rebondir. Selon les données d’Appfigures, l'application a été téléchargée 5,5 millions de fois en janvier dernier sur l'ensemble des boutiques d'applications, et est ensuite restée sur le podium des apps les plus installées de l’App Store. Comment a-t-elle réussi à grimper si haut ? TechCrunch a approfondi l’enquête et suspecte d'éventuelles fausses évaluations et une utilisation de bots pour générer du trafic. De quoi lui donner un succès à première vue légitime, ayant incité de plus en plus de gens à l’installer.

Ce trou dans la raquette d’Apple et Google a d’ailleurs servi d’argument. La maison mère a ainsi assuré que l’application était légitime étant donné… qu’elle était présente sur les deux boutiques et qu’elle passait régulièrement les vérifications de sécurité. Les deux applications ont depuis été retirées.

L’origine de l’app reste floue. Freecash a été mise en ligne le 24 mars 2024 avant d’être supprimée au mois de juin de la même année. Elle est cependant revenue quelques mois plus tard depuis un autre compte développeurs via la refonte d’une autre application. Cette technique est bien connue dans l’univers des arnaqueurs, et est évidemment interdite par les règles de l’App Store. Reste à savoir comment une application aussi contestée a pu rester visible aussi longtemps sans déclencher plus tôt l’intervention des plateformes.

Une vidéo publiée par la populaire chaîne YouTube Veritasium a déjà fait beaucoup parler d’elle. Il faut dire qu’elle exploite une faille particulièrement spectaculaire : une transaction Apple Pay est validée sur un iPhone verrouillé, sans l’accord de son propriétaire. Dans la vidéo, c’est Marques Brownlee qui joue le rôle de la victime en se faisant « dérober » 10 000 $ alors que son téléphone n’a jamais validé l’opération en restant verrouillé sur la table pendant toute la séquence. En théorie, quelqu’un pourrait ainsi voler de grosses sommes d’argent à l’insu de ses victimes.

Si la démonstration est impressionnante, inutile de paniquer trop vite. La vulnérabilité exploitée par Veritasium est en réalité déjà connue depuis 2021 et elle reste extrêmement difficile à mettre en œuvre. Elle est liée au mode transport express de l’iPhone, qui permet d’utiliser Apple Pay sans déverrouiller son smartphone avec Face ID. Elle nécessite aussi une carte Visa, puisque les autres réseaux de paiement, comme Mastercard, gèrent différemment les opérations et sont immunisés. Surtout, elle demande un matériel précis pour duper à la fois l’iPhone et le terminal de paiement.

Apple Pay : une faille du mode Express avec les cartes Visa

La vidéo détaille le fonctionnement assez sophistiqué de la faille. Elle implique d’avoir un lecteur NFC pour transmettre les données fournies et reçues par l’iPhone dans le cadre d’une transaction. Ce lecteur est relié à un ordinateur qui exécute un script Python chargé de modifier les informations pour tromper tous les appareils impliqués. Concrètement, le script fait en sorte que le paiement soit compatible avec le mode transport express, puis que la somme élevée demandée par le terminal de paiement soit ignorée.

Trois mesures de sécurité mises en place par Apple et les systèmes de paiement sont ainsi levées successivement pour aboutir à un paiement de 10 000 $ validé sans l’aval de Marques. La vidéo s’intéresse aussi aux raisons qui justifient l’existence maintenue de cette faille depuis près de cinq ans. Apple a une part de responsabilité, avec une gestion différente de celle de Samsung qui permet d’autoriser un paiement d’une grosse somme dans le mode transport express. Néanmoins, c’est surtout Visa qui est responsable en n’assurant pas une sécurité suffisante dans ce contexte.

Apple avait informé le réseau de paiement américain avant même la publication de la vulnérabilité en 2021. L’entreprise n’a pas souhaité modifier son système à l’époque et ce n’est manifestement toujours pas le cas. La vidéo se termine sur une interview d’un responsable qui explique que les risques sont suffisamment faibles pour une exploitation à grande échelle et que les personnes qui se font voler par ce biais pourront réclamer des remboursements. Cette réponse qui rejette la responsabilité sur la victime est bien peu satisfaisante, mais il faudra apparemment faire avec.

Le seul recours si vous voulez être protégé consiste à désactiver entièrement le mode transport express ou en tout cas, à ne l’activer que sur les cartes Mastercard. Comme la vidéo le détaille, il y a une couche supplémentaire de sécurité avec ce réseau de paiement qui fait que la faille ne peut plus être exploitée. Néanmoins, même avec une carte Visa en transport express, le risque d’être ciblé par cette attaque reste très faible.

Si Apple a souvent tendance à présenter son App Store comme un endroit sûr pour les consommateurs, la réalité est parfois loin des discours marketing. Les chercheurs et journalistes signalent régulièrement la présence d’apps permettant de déshabiller des personnes par IA. Selon un rapport du Tech Transparency Project (TTP), de telles apps sont toujours présentes sur l’App Store et le Google Play. Pire, elles sont même parfois mises en avant.

Le TTP a testé 46 apps sur l’App Store et 49 sur Google Play. Parmi elles, 18 côté Apple et 20 côté Google permettaient effectivement de déshabiller des femmes ou de les afficher légèrement vêtues. Elles auraient rapporté plus de 122 millions de dollars et été téléchargées 483 millions de fois.

Le groupe a constaté qu’environ 40 % des apps remontées dans les résultats de recherches telles que « nudify », « undress » et « deepnude » pouvaient « afficher des femmes nues ou légèrement vêtues ». TTP a contacté les développeurs de ces apps, et l’un d’entre eux a confié se baser sur… Grok, qui avait justement fait les gros titres pour ses dérives en début d’année. Le rapport précise toutefois que Grok n’a pas été comptabilisé dans le total des apps de déshabillage, car les tests de TTP ont montré qu’il bloquait les tentatives de retrait de vêtements sur des images importées.

La directrice du TTP a déclaré auprès de Bloomberg estimer que les plateformes « dirigeaient les utilisateurs » vers ce type d’apps. En effet, les boutiques ont parfois tendance à compléter les recherches avec certains termes douteux. Plusieurs apps de deepfakes se sont retrouvées dans les résultats de recherche sponsorisés des échoppes. Beaucoup d’entre elles étaient classées comme adaptées aux mineurs, ce qui signifie qu’elles pouvaient être téléchargées par des enfants. Le rapport en a relevé pas moins de 31.

Deepfakes : la pudeur à géométrie variable d'Apple et Google

Apple n’a pas répondu aux questions du TTP, mais a supprimé 15 des applications mentionnées après le signalement du groupe et de Bloomberg. De son côté, Google a expliqué que beaucoup des apps citées avaient été suspendues et que son enquête était toujours en cours.