Apple va glisser un correctif dans iOS afin d'empêcher que des logiciels malveillants puissent forcer l'appel d'un numéro de téléphone et a fortiori lorsqu'il s'agit de numéros de services d'urgence.
Le Wall Street Journal revient sur une faille de sécurité qui avait été découverte à l'automne dernier par un étudiant américain, Meetkumar Hiteshbhai Desai, et mis en œuvre de manière un peu trop efficace.
Espérant attirer l'attention d'Apple et bénéficier de son tout nouveau programme de récompense après la découverte de failles de sécurité, il avait mis en ligne une page web contenant un code Javascript capable de lancer la numérotation d'un numéro. Et ce, sans que l'utilisateur ne puisse l'en empêcher. En l'occurence, le script était programmé avec le 911, celui des services d'urgence nord-américains. L'utilisateur pouvait raccrocher, mais seulement après que l'appel soit lancé.
Depuis ses comptes Twitter et YouTube, le développeur avait donné le lien vers son site et provoqué un afflux d'appels incontrôlés vers le 911. Au point que les forces de l'ordre avaient dû intervenir pour fermer le site et ensuite interpeller le jeune homme. Celui-ci a plus tard expliqué qu'il s'était trompé. Qu'il avait envoyé les curieux vers la mauvaise version de son code, celle qui appelait le 911 au lieu de se contenter d'afficher une alerte sur l'iPhone de ces visiteurs et de les faire rebooter.
Initialement, explique le Wall Street Journal, on avait pu penser que "seulement" quelques centaines d'appels avait été générés à la suite de ce tweet. Mais dans les faits, les enquêteurs ont dénombré 117 502 clics sur le lien et autant d'appels au 911 dans la foulée. Non seulement cela avait engorgé temporairement certains centres d'appels mais, même interrompu, un coup de fil raccroché brusquement auprès de ce service peut générer un contre-appel, pour s'assurer que l'appelant va bien.
Cet incident a mis en lumière la fragilité potentielle du 911 si la même action avait été entreprise à plus grande échelle, par un état étranger par exemple, et de façon coordonnée pour saturer un maximum de lignes. Ils sont 6 500 centres aux États-Unis à répondre au 911 et 420 seulement seraient équipés pour faire face à ce type d'appels. Une autre étude a démontré qu'il suffirait de 6 000 smartphones infectés pour bloquer les 911 d'un état américain pendant plusieurs jours.
En ce qui la concerne, Apple va mettre en place le nécessaire pour que ce type d'action affiche désormais une fenêtre de confirmation/annulation et il faudra expressément appuyer sur "Appeler" pour que la numérotation se fasse.
Source :
