Ouvrir le menu principal

iGeneration

Recherche

Apple s'occupe d'une grosse faille de sécurité « zero day » dans HomeKit

Mickaël Bazoge

jeudi 07 décembre 2017 à 22:11 • 49

iOS

Dans iOS 11.2, HomeKit présente une faille « zero day », qui pouvait permettre à un malandrin de prendre le contrôle d'accessoires domotiques — et quand on sait qu'il existe des serrures connectées censées protéger des habitations, l'affaire a été prise très au sérieux par Apple. Le constructeur a bouché une partie de la faille côté serveur et avec les versions finales d'iOS 11.2 et watchOS 4.2. Ce patch limite certaines fonctions de HomeKit. Côté client, une mise à jour pour iOS sera livrée dans le courant de la semaine prochaine, elle rétablira l'intégralité des fonctions de la plateforme domotique.

C'est 9to5Mac qui est tombé sur cette vulnérabilité que le site ne compte pas décrire en détails, pour des raisons évidentes de sécurité. La faille concerne le framework HomeKit plutôt que des appareils individuels ; elle permet donc le contrôle par un tiers d'un produit HomeKit : une nuisance s'il s'agit d'une ampoule, un sérieux problème de sécurité pour une serrure connectée.

La manipulation est « difficile à reproduire ». Elle nécessite un iPhone ou un iPad sous iOS 11.2, connecté au compte iCloud de l'utilisateur. Apple est au courant de cette vulnérabilité depuis la fin du mois d'octobre, elle a été en partie corrigée avec les versions finales d'iOS 11.2 et de watchOS 4.2, mais pas complètement, d'où le patch côté serveur. Ce correctif a un défaut, il désactive l'accès des produits HomeKit aux utilisateurs partagés. Cette fonction sera rétablie dans une prochaine mise à jour d'iOS.

Les utilisateurs n'ont rien de spécial à faire, si ce n'est attendre la mise à jour.

Source : 9to5Mac

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

TV+ : Apple signe un accord avec l’audiovisuel français

16:00

• 3


Tim Cook prend l'ascenseur de Severance

15:45

• 13


Apple lance une nouvelle API pour faciliter certains abonnements in-apps

14:15

• 0


Android 16 : première bêta avec l'équivalent des Activités en direct d'iOS

12:30

• 2


iOS : l’Epic Games Store s’enrichit d’une vingtaine de jeux et va en offrir un chaque semaine

10:34

• 15


Promo : jusqu'à -340 € sur des iPad Pro M4

08:30

• 11


La mémorisation du mode En veille n’est pas exclusive aux chargeurs Made for MagSafe

23/01/2025 à 20:30

• 12


iPhone : quelques astuces si votre réveil ne sonne pas

23/01/2025 à 20:15

• 34


Le gouvernement indien veut préinstaller ses apps sur les téléphones d'Apple et de Google

23/01/2025 à 19:30

• 14


YouTube Premium : le mode Picture in Picture (PiP) est disponible pour les Shorts

23/01/2025 à 17:30

• 16


SFR RED lance un nouveau forfait à 4,99 € pour 10 Go

23/01/2025 à 16:50

• 12


Le Royaume-Uni ouvre une enquête sur la concurrence dans les écosystèmes mobiles d'Apple et de Google

23/01/2025 à 15:45

• 11


Comme prévu, le Galaxy S25 est seulement « Qi2 Ready » : une coque est nécessaire

23/01/2025 à 14:28

• 20


Samsung fait miroiter son premier smartphone pliable à trois écrans

23/01/2025 à 13:00

• 23


Apple Store : retour en stock des chargeurs Qi2 multifonctions d'Anker et Nimble

23/01/2025 à 12:00

• 2


Patriot Memory présente une astucieuse clef USB-C / Lightning

23/01/2025 à 11:00

• 19