Une faille subsiste avec le verrouillage d'activation dans iOS 10

Florian Innocente |

Une faille de sécurité avec la fonction de verrouillage d'activation d'iOS qui avait été corrigée dans iOS 10.1.1 subsiste moyennant une nouvelle manipulation.

Le verrouillage d'activation est mis en route lorsque vous choisissez l'option "Localiser mon iPhone". À partir de là, comme l'explique Apple « votre identifiant Apple et votre mot de passe sont requis pour effectuer les tâches suivantes : désactiver le service Localiser mon iPhone sur votre appareil ; effacer le contenu de votre appareil ; Réactiver et utiliser votre appareil ». C'est particulièrement utile en cas de perte de votre appareil pour ne pas en exposer le contenu.

En novembre, un jeune chercheur en sécurité avait réussi à accéder à l'écran d'accueil d'un iPad Air acheté sur eBay (avec le 10.1). Le verrouillage d'activation était toujours en place, l'empêchant d'utiliser cette tablette.

En allumant l'iPad, il était accueilli par l'écran proposant de se connecter à un réseau Wi-Fi (après quoi on est invité à soumettre ses identifiants pour désactiver le verrouillage d'activation). Il avait alors choisi l'option pour se connecter à un autre réseau sans fil que ceux listés.

Et là, de se rendre compte que les différents champs dans cet écran (nom du réseau, identifiant et mot de passe) n'étaient pas limités dans le nombre de caractères. Il en a alors tapé un nombre excessif, au point de figer l'interface.

Cliquer pour agrandir

Petit à petit, il a fini par s'apercevoir qu'en fermant la Smart Case sur l'écran puis en l'ouvrant, au bout d'une vingtaine de secondes le logiciel de connexion à un réseau Wi-Fi qui était resté figé finissait par planter. iOS affichait alors l'écran d'accueil, donnant un libre accès au contenu de l'iPad en dépit du verrouillage d'activation.

Apple a corrigé ce défaut avec iOS 10.1.1 mais des chercheurs chez Vulnerabilty Labs ont réussi à le reproduire. Ils ont repris la méthode d'Hemanth Joseph jusqu'au moment où la Smart Cover est ouverte, en forçant la rotation de l'affichage et l'activation de Night Shift.

Cliquer pour agrandir

Pendant un bref instant, l'écran d'accueil apparaît. Pas assez longtemps pour s'en servir mais en appuyant au bon moment sur le bouton de mise en marche ou en sollicitant Siri, ce délai d'accès peut être allongé. Cette faiblesse est aussi présente sur les iPhone explique Benjamin Kunz-Mejri de Vulnerability Labs.


avatar EBLIS | 

J'ai une question, avec le dernier iOS, est-il toujours possible, lorsqu'un iPhone/iPad est verouillé de l'éteindre en faisant un appui long sur la touche power ou même de le passer en mode avion et empêcher ainsi sa localisation. Je sais que le centre de commande est désactivable mais le comportement du bouton power l'est-il? Si non, je trouve quand même que cela est "une faille".
Autre question, lorsqu'un iPhone est bloqué sur un compte iCloud, est-ce qu'il est possible de le débloquer en le jailbeakant?
J'aimerais changer de portable et je ne sais si je reste chez Android ou si je tente l'iPhone et les questions de sécurité se posent dans les 2 cas.
Merci de vos réponse.

avatar macbookpro2016 | 

Ba niveau sécurité la question ne se pose pas ! Ios est beaucoup plus sécurisé.

Merci pour ton troll il était fin

avatar EBLIS | 

Ce n'était pas un troll mais une vraie question.

CONNEXION UTILISATEUR