FaceTime : un bug permet d'espionner son correspondant, Apple désactive Group FaceTime

Mickaël Bazoge |

Oups : les appels vidéo de FaceTime présentent une grosse faille de sécurité qui permet d’écouter aux portes. Depuis au moins iOS 12.1, une manipulation toute simple offre en effet à l’utilisateur la possibilité d’entendre ce qui se passe chez son correspondant sans même qu’il décroche… Voilà qui fait tache pour Apple, qui a le respect de la vie privée chevillée au corps, comme le constructeur en avait fait la promotion durant le dernier CES. Ce panneau publicitaire vantant la confidentialité des données a mal vieilli...

Le principe est simple :

  • Lancez un appel vidéo en FaceTime ;
  • relevez le panneau des options ;
  • ajoutez-vous à la conversation (ce qu'il est possible de faire depuis les appels de groupe FaceTime) ;
  • … et écoutez ce qui se passe chez le correspondant.
Après avoir initié l’appel, soulevez le panneau des options, et touchez l’option Ajouter une personne. Le fait de s’ajouter à la conversation permet d’écouter en douce son correspondant.

Dit autrement, si quelqu’un tente de vous joindre dans un appel vidéo FaceTime, il peut écouter ce que vous dites sans que vous ayez décroché.

Ce bug, que nous avons pu reproduire à plusieurs reprises, n’a pas été corrigé avec la première bêta d’iOS 12.2. Il est probable, au vu de sa médiatisation, qu’Apple livre assez rapidement une mise à jour intermédiaire pour boucher le trou, à moins que la vulnérabilité puisse être corrigée côté serveurs. En attendant, il n’y a pas vraiment de remède, si ce n’est de basculer en mode Ne pas déranger, ou désactiver FaceTime… ou tenir sa langue avant de prendre l'appel.

Mise à jour — On apprend que si le correspondant appuie sur le bouton de volume ou d'allumage (sans répondre à l’appel), il envoie aussi le flux vidéo à son insu !

Apple a rapidement réagi en déclarant aux sites US que l’entreprise était au courant du bug, que ce dernier avait été identifié et qu’un correctif sera livré dans une prochaine mise à jour qui sera disponible « plus tard cette semaine ». Le plus vite sera le mieux.

Dans l'attente d'un correctif côté client, Apple a désactivé côté serveur la fonction de groupe pour FaceTime.

Un utilisateur sur Twitter clame, captures d'écran à l'appui et rappels de ses précédents tweets, avoir prévenu Apple ainsi que Fox News il y a une semaine de l'existence de ce bug, qu'il décrivait sommairement. Personne n'est revenu vers lui, dit-il.


avatar Bigdidou | 

@webHAL1

« Mmhhh, non. Je crois que ce que Bigdidou décrit c'est des tests en utilisation réelle, mais par une population réduite »

C’est ça.

« Ici, la faille a été découverte lorsque le produit était finalisé »

Eh oui. Un peu tard...

« « À noter quand même que rien ne dit qu'une phase de beta test par une population de testeurs aurait permis de découvrir ce (très gênant) dysfonctionnement. » »

Oui, mais d’autant moins qu’on ne fait pas cette phase de bêta test.

avatar jazz678 | 

@Bigdidou

« Oui, mais d’autant moins qu’on ne fait pas cette phase de bêta test. »

Oh j’imagine qu’il y en a quand même eu une (le protocole est immuable dans le développement logiciel), mais à une échelle ou avec des indicateurs qui ne permettaient pas d’identifier cette faille.

avatar sachouba | 

@iVador

"Il n’y a aucune règle, c’est ainsi."
Ouf ! Si le bug est dû à la fatalité, je ne vois pas ce qu'Apple aurait pu changer pour le détecter ou le régler avant la mise en production !
J'ai cru un instant que leur process de test était perfectible...

avatar jazz678 | 

@Bigdidou

« Si un robot chirurgical se met à découper ta grand mère en tranches fines façon salami, tu admettras ce genre de réponse ? »

Restons dans la mesure...

avatar Nesus | 

@Malvik2

Bon, d’abord quand on en est à insulter son boss, il est temps de changer de boulot ;-).

Et oui, ce n’est pas bien. Ce n’est pas grave non plus. Objectivement, le temps d’écoute est très court. Il ne devrait pas exister et je ne suis pas inquiet Apple va vite régler le problème. À date, l’exploitation reste très limitée.

Mais est-ce le drame qu’on nous vend ? La faille ultime ? Celle qui renie la sécurité (comme il est écrit dans l’article en parlant de la pub).

avatar Domsware | 

Un bug voyons, pas une faille.

avatar IRONMAN65 | 

Sans que l’autre décroche ?

avatar oomu | 

sans que l'autre décroche.

avatar Florent Morin | 

En fait, c’est FaceTime qui décroche à ta place.

C’est un bug de l’app qui n’a pas a voir avec le protocole.

avatar Mac13 | 

Je ne suis pas encore passé au 12. Plus je désactive FaceTime dans les paramètres tant que je n'ai pas besoin. ?

avatar en ballade | 

La réactivité d’Appl€ laisse songeur. Rien à voir avec MS.

La honte.

avatar oomu | 

quel est le soucis avec la réactivité d'Apple ?

avatar bonnepoire | 

Tu devrais t'appeler "en croisade". Sur windows pas besoin de Facetime pour espionner les gens...

avatar fifounet | 

@en ballade

"La réactivité d’Appl€ laisse songeur. Rien à voir avec MS."

La 2eme phrase est certainement ironique ?

avatar occam | 

@en ballade

Pour un peu de perspective à propos de Microsoft, cette beauté :
https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/

Aucun patch jusqu’à l’heure, Exchange toujours vulnérable. Et ce n’est pas nouveau : CVE-2018-8581 toujours valable, toujours pas de remède :
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8581

Quand je dis que toutes les fois qu’Apple se met le doigt dans l’oeil, Microsoft y enfonce son bras jusqu’au coude, pour ne pas être en reste...

avatar debione | 

C’est assez marrant... Donc grosso merdo, ce que l’on voit de la sécurité d’Apple c’est qu’ils sont capables d’ouvrir les micros et les caméras depuis les serveurs... Que les micros et la caméra peuvent se mettre en marche sans que le possesseur n’en soit aucunement averti...

Ça ressemble méchamment à une backdoor mal camouflé ...

avatar macinoe | 

Je ne sais pas , mais c'est clair que l'on est pas du tout dans une conception qui mets la priorité sur sécurité des utilisateurs.

Contrairement à ce qu'affirme bien fort la com d'Apple

avatar evangelion-007 | 

@debione

C’est le système de mise en relation entre 2 (voir x) iPhone qui a été désactivé . L’appli reste autonome.

avatar debione | 

@evangelion-007

Ce n’est pas là dessus que je mets l’accent, mais sur le fait que le micro de l’iphone Ou la camerA peuvent se mettre en branle sans qu’il n’y aie aucune action de l’utilisateur. FaceTime n’est qu’une façon de procéder pour y arriver.

Ma question est: est-ce qu’apple Va juste sortir un correctif pour FaceTime, ou est ce qu’ils vont revoir en profondeur l’os pour qu’il n’y aie aucune possibilité de mise en marche à distance des micros et caméras? Ou tout du moins avoir un avertissement clair sur l’iphone Quand cela commence à filmer et à enregistrer?

avatar oomu | 

Le code au sein de l'appareil, permettant d'activer le micro et envoyer des données, existe. Il peut donc potentiellement être abusé.

Mais oui, il reste choquant qu'il soit possible d'initier tout cela sans une intervention directe et explicite de l'utilisateur (passer par l'écran, en gros).

Mais le logiciel n'est que du logiciel : prêt à fournir la fonctionnalité, si on trouve un moyen détourné et non prévu de l'activer, il fera son travail, sans aucune conscience.

-
Pas de logiciel, pas de bug. Supprimons le logiciel ! :)

avatar zoubi2 | 

@oomu

"Pas de logiciel, pas de bug. Supprimons le logiciel ! :)"

Tiens, pas con ça !

Dans un autre domaine, il y en a qui appliquent ce principe : ça s'appelle l'abstinence :-)

avatar Ducletho | 

Google en a rêvé, Apple l’a fait ;)
Décidément toujours une longueur d’avance.
PS : merci faceid qui me refait saisir mon code bien plus souvent que touchID.

avatar taxtax | 

@Ducletho

Et en même temps, quelle idée d'avoir fait offrande d'un rein à Tim en échange d'un iPhone à encoche !
??‍♂️ ??‍♂️ ??‍♂️

Faut pas acheter les produits Apple post 2015-2016 (Macbook R, Macbook Pro, iPad, iPhone...) tant ils sont bourrés de défauts de conception et tant ils s'éloignent de plus en plus de la simplicité Apple ...

avatar Ducletho | 

@taxtax

Mon fils avait besoin de changer son tél, je lui ai donné mon 7, et le merveilleux faceid, il aime pas déjà le déverrouillage quand il est sur support voiture, et il aime pas être trop loin. Les lunettes, avec il ne me reconnaît pas toujours également

avatar taxtax | 

@Ducletho

Testé un iX pendant plus d'un mois: jamais convaincu par Face ID (moins souple que Touch ID comme déjà évoqué 1000 fois dans les commentaires qui comparaient les 2 technos) et cette encoche impossible à faire oublier en mode paysage (visionnage de photos/ videos plein écran, utilisation du GPS, jeux...).

Repris un 7 plus pour son grand écran -encore à la pointe- 16/9 sans encoche, sa meilleure autonomie et sa robustesse par rapport au dos en verre des 8 et X (et le bras que ça coute de les faire réparer).
Et pour 50% du prix du X !!!

avatar whocancatchme | 

Un 7 avec FaceID ? Vous avez bidouillé votre tel ou quoi ?

avatar fifounet | 

@Ducletho

"PS : merci faceid qui me refait saisir mon code bien plus souvent que touchID."

Ça doit être à force de tirer la langue à chaque déblocage ?

avatar Ducletho | 

@fifounet

Ça doit être ça !

avatar clementgonzalvez | 

“Ce panneau publicitaire vantant la confidentialité des données a mal vieilli...”

De là à remettre en cause l’entièreté de la politique de confidentialité chez Apple pour un unique bug qui a été immédiatement traité, je vous trouve un peu dur !

avatar occam | 

@clementgonzalvez

« What happens on your iPhone… now broadcast worldwide. »

Non. Quand on vante la confidentialité comme caractéristique distinctive pour attirer le chaland, et qu’on se fourre le doigt dans l’oeil jusqu’à l’hippocampe, faut encaisser et assumer.

avatar raf30 | 

On rigole des Samsung Galaxy qui envoient des SMS à l'insu de son plein gré, Alexa qui déballe tout aux contacts enregistrés mais là Apple, merci de rétablir un peu d'équité dans la "fiabilité" des services.

avatar oomu | 

je rigole po :(

avatar Jeff06am | 

Désactivé aussitôt pour ma part !

avatar niclet | 

D’après les articles sur le sujet, il s’agit plutôt qu’on peut entendre quelqu’un que l’on appelle juste avant qu’il ne décroche. Pas comme si on pouvait espionner n’importe qui de son carnet d’adresse. C’est grave, mais pas besoin d’être aussi sensationnaliste MacG!
https://www.businessinsider.com/apple-facetime-privacy-vulnerability-lets-another-user-listen-in-2019-1

avatar Clément34000 | 

Sacré bug et surtout à la portée de tous pour une fois lol Ça va vite être réglé

avatar sachouba | 

Et hop !
Il va encore falloir mettre à jour le système d'exploitation complet après un téléchargement de 1 Go (uniquement en Wi-Fi, attention – bon courage à tous ceux qui profitent des joies de l'ADSL) et 10 minutes d'installation pour se débarrasser d'un bug sur une unique application Apple.
Et ensuite, Apple prétend vouloir sauver la planète...

Ce serait un peu plus simple pour tout le monde que Facetime soit mis à jour via l'App Store. Ce n'est pas comme si Apple refusait systématiquement de copier ses concurrents.

avatar fifounet | 

@sachouba

« Il va encore falloir mettre à jour le système d'exploitation complet après un téléchargement de 1 Go »

C’est pas bien de raconter des conneries
Mais c’est pas comme si on avait l’habitude ?

avatar zoubi2 | 

@fifounet : +1

Je suis surpris de n'avoir pas encore lu Pataugas et ses gros sabots...

avatar gboscher | 

Je ne comprends pas : je suis le seul à trouver Face ID bien ? J’ai du mal avec l’encoche, mais à part ce sujet de design, le déverrouillage fonctionne encore mieux que Touch ID (qui était déjà très bon) pour moi !

avatar phil3 | 

@gboscher

Non tu n'es pas le seul. Mais on entend plus souvent ceux qui ralent que les autres ?

avatar Ducletho | 

@phil3

On va pas reprocher aux gens de s’exprimer n’est ce qu’il pas? Alors ton commentaire serait plus approprié s’il reprochait à certains de ne pas s’exprimer ?

avatar taxtax | 

@Ducletho

A quand des tirs de balle molles virtuelles pour empêcher « les râleurs » de râler dans les commentaires d’une news dédiée à la divinité pommée ?

Ah la la, les fanboys... ?

avatar Ducletho | 

@taxtax

Je sens que je vais pas tarder à me prendre une grenade de desencerclement ;)

avatar taxtax | 

@Ducletho

Au moins les chevaliers de l'ordre et la morale pommesque vous font la fleur de la 1ere sommation avant de dégommer votre post ! x_x

avatar fifounet | 

@taxtax

"d’une news dédiée à la divinité pommée ?

Ah la la, les fanboys... ?"

Âge mental 15 ans
Merci
Suivaaaaaant !

avatar Ducletho | 

@gboscher

Dis simplement que ça marche chez toi et arrête de faire ouin ouin je suis seul au monde

avatar zoubi2 | 

@Ducletho

Si je comprends bien, on a le droit de dire que ça ne marche pas mais on n'a pas le droit de dire que ça marche ?

avatar fifounet | 

@zoubi2

"Si je comprends bien, on a le droit de dire que ça ne marche pas mais on n'a pas le droit de dire que ça marche ?"

Oui ça a toujours été la tendance ?

Pages

CONNEXION UTILISATEUR