La bêta actuelle d’iOS 13 ne sécurise pas vraiment les mots de passe [MàJ]

Nicolas Furno |

Si vous avez installé la bêta, publique ou développeur, d’iOS 13, sachez qu’il y a une faille de sécurité assez gênante dans la version actuelle. Comme le note sur Twitter @SteveMoser, il est possible d’accéder à tous les mots de passe stockés dans le trousseau sécurisé de l’iPhone ou iPad sans que Face ID ou Touch ID fasse son travail. En clair, n’importe qui peut accéder à vos mots de passe dans la version actuelle, s’ils peuvent utiliser votre appareil iOS.

Nous avons réussi à reproduire cette faille en faisant comme dans la vidéo : en bloquant le capteur Face ID et en touchant plein de fois la ligne qui permet d’accéder aux mots de passe (dans l’app Réglages, puis « Mots de passe et comptes »), on finit par accéder aux mots de passe. Sur les modèles équipés de Face ID, iOS 13 affiche bien une alerte pour indiquer que le visage est reconnu, mais le mal est déjà fait, vous avez accès à tous les mots de passe.

C’est le lot des bêtas, il faut prévoir des bugs plus ou moins gênants. Dans ce cas, il faut un accès physique à l’appareil pour que la faille soit exploitable, ce qui limite son pouvoir de nuisance. Pensez au moins qu’en attendant la quatrième bêta développeurs et troisième bêta publique, il est préférable de ne pas prêter votre iPhone ou iPad à n’importe qui…

[MàJ 12/07/2019 09h15] : la faille concerne aussi les iPhone et iPad équipés d’un lecteur d’empreintes Touch ID (merci Jonathan).

avatar mapiolca | 

Impossible à faire chez moi

avatar iphone5stiti | 

La même impossible à faire

avatar Nicolas Furno | 

@mapiolca et @iphone5stiti

Vous avez la bêta développeurs ou publique ?

avatar iphone5stiti | 

@nicolasf

Développer

avatar mapiolca | 

@nicolasf

Publique

avatar Simbapple | 

Ça relance le débat Face ID VS Touch ID 🤣 ou la faille fonctionne aussi avec Touch ID ?! 🤔

avatar martinpar92 | 

@Simbapple

Ça fonctionne aussi avec Touch ID 😰

avatar Simbapple | 

@martinpar92

Et le code à 4 ou 6 chiffres ?! 🤣🤣🤣

avatar martinpar92 | 

@Simbapple

Code perso avec chiffres plus lettres 😂

avatar Simbapple | 

@martinpar92

Autant rien mettre comme ça au moins c’est réglé.

avatar Adrien_R | 

Impossible pour moi aussi de faire ça !
Sous bêta publique 2

avatar Htag | 

Ça marche chez moi XsMax bêta publique 2
J’ai mis mon doigt sur la cam et j’ai appuyé plusieurs fois sur « mots de passes et comptes » le faceiD à pas le temps de scanner puis ça ouvre les mots de passes....

avatar freefalling | 

iPhone XS bêta 3 - impossible à reproduire ..

avatar iBaby | 

Je confirme.

avatar achille_talon_1972 | 

Effectivement.... j’ai réussi deux fois en trois minutes. Il suffire d’insister même si le message « impossible ressayer » apparaît... bêta public 2

avatar tequilapafff | 

Est-ce que ça fonctionne uniquement pour trousseau ou aussi pour toutes les autres fonctions qui nécessitent Face ID ?

avatar koko256 | 

Apple ferait mieux de changer son implémentation. Les mots de passe du trousseau devraient être verrouillés à tout moment et la clé de chiffrement inaccessible sans face/touch id. Il faudra bien quelques exceptions (les mots de passe du mail par exemple), mais il suffirait de faire un trousseau spécifique pour ceux-ci.

avatar Nicolas Furno | 

@koko256

Sauf que le trousseau est utilisé bien plus largement, par exemple c'est là que le mot de passe du Wi-Fi est stocké. Les apps peuvent aussi y accéder pour des mots de passe, votre proposition serait vite insupportable…

avatar koko256 | 

@nicolasf

Ma proposition était de faire un second trousseau sui reste ouvert avec les mots de passe dont il a besoin.

Mais j'ai confiance qu'AppleId va rendre les mots de passe obsolètes mais le temps que les banques y passe il faudra bien deux décennies.

avatar misterbrown | 

C’est vraiment bien les bêtas

avatar quentinf33 | 

@misterbrown

Oui c’est très bien parce qu’on peut trouver des failles avant que ça soit disponible pour le grand public.

avatar grandwazoo | 

Alors rien à voir avec la bêta mais en terme de sécurité, j’ai remarqué que mon iPhone X verrouillé dans la poche avant de pantalon se déverrouille et parfois lance des applis tout seul lorsqu’il fait très chaud. Comment est-ce possible ?

avatar UraniumB | 

@grandwazoo

Simple. Ce n’est pas possible.

avatar grandwazoo | 

@UraniumB

C’est beau la foi !
Peut-être en théorie mais en pratique, ça m’est arrivé plusieurs fois. Et à priori à d’autres personnes. Donc c’est possible

avatar Bigdidou | 

@grandwazoo

« Donc c’est possible »

Évidemment pas ;)
En revanche, si on remet son iPhone dans sa poche juste après un appel avant qu’il soit verrouillé, des tas de choses peuvent se produire.
Idem à partir des alertes affichées sur l’écran d’accueil, en fonction de ce que tu as permis ou pas.

avatar Dv@be | 

@grandwazoo

J’ai également eu le cas. La dernière fois j’étais à Hong Kong et j’ai laissé un très très long message sur la messagerie vocale d’une amie.

Résultat au retour : facture de 300€ 😱

avatar ClownWorld 🤡 | 

Jamais personne n’a accès à mon téléphone déverrouillé et si je prends un gars à taper sur mon écran de cette façon il va passer un sale 1/4 d’heure et j’ai pas la bêta 😘

avatar Maliik | 

A merde. Ça fonction chez moi. iPhone X

avatar themasck | 

j'ai reproduit le problème sur 6S en mettant un autre doigt (non reconnu) et en cliquant plusieurs fois .
après il ne me demande même plus de mettre le doigt .
beta publique 2 .

CONNEXION UTILISATEUR