La bêta actuelle d’iOS 13 ne sécurise pas vraiment les mots de passe [MàJ]
Si vous avez installé la bêta, publique ou développeur, d’iOS 13, sachez qu’il y a une faille de sécurité assez gênante dans la version actuelle. Comme le note sur Twitter @SteveMoser, il est possible d’accéder à tous les mots de passe stockés dans le trousseau sécurisé de l’iPhone ou iPad sans que Face ID ou Touch ID fasse son travail. En clair, n’importe qui peut accéder à vos mots de passe dans la version actuelle, s’ils peuvent utiliser votre appareil iOS.
Nous avons réussi à reproduire cette faille en faisant comme dans la vidéo : en bloquant le capteur Face ID et en touchant plein de fois la ligne qui permet d’accéder aux mots de passe (dans l’app Réglages, puis « Mots de passe et comptes »), on finit par accéder aux mots de passe. Sur les modèles équipés de Face ID, iOS 13 affiche bien une alerte pour indiquer que le visage est reconnu, mais le mal est déjà fait, vous avez accès à tous les mots de passe.
C’est le lot des bêtas, il faut prévoir des bugs plus ou moins gênants. Dans ce cas, il faut un accès physique à l’appareil pour que la faille soit exploitable, ce qui limite son pouvoir de nuisance. Pensez au moins qu’en attendant la quatrième bêta développeurs et troisième bêta publique, il est préférable de ne pas prêter votre iPhone ou iPad à n’importe qui…
[MàJ 12/07/2019 09h15] : la faille concerne aussi les iPhone et iPad équipés d’un lecteur d’empreintes Touch ID (merci Jonathan).
Impossible à faire chez moi
La même impossible à faire
@mapiolca et @iphone5stiti
Vous avez la bêta développeurs ou publique ?
@nicolasf
Développer
@nicolasf
Publique
Ça relance le débat Face ID VS Touch ID 🤣 ou la faille fonctionne aussi avec Touch ID ?! 🤔
@Simbapple
Ça fonctionne aussi avec Touch ID 😰
@martinpar92
Et le code à 4 ou 6 chiffres ?! 🤣🤣🤣
@Simbapple
Code perso avec chiffres plus lettres 😂
@martinpar92
Autant rien mettre comme ça au moins c’est réglé.
Impossible pour moi aussi de faire ça !
Sous bêta publique 2
Ça marche chez moi XsMax bêta publique 2
J’ai mis mon doigt sur la cam et j’ai appuyé plusieurs fois sur « mots de passes et comptes » le faceiD à pas le temps de scanner puis ça ouvre les mots de passes....
iPhone XS bêta 3 - impossible à reproduire ..
Je confirme.
Effectivement.... j’ai réussi deux fois en trois minutes. Il suffire d’insister même si le message « impossible ressayer » apparaît... bêta public 2
Est-ce que ça fonctionne uniquement pour trousseau ou aussi pour toutes les autres fonctions qui nécessitent Face ID ?
Apple ferait mieux de changer son implémentation. Les mots de passe du trousseau devraient être verrouillés à tout moment et la clé de chiffrement inaccessible sans face/touch id. Il faudra bien quelques exceptions (les mots de passe du mail par exemple), mais il suffirait de faire un trousseau spécifique pour ceux-ci.
@koko256
Sauf que le trousseau est utilisé bien plus largement, par exemple c'est là que le mot de passe du Wi-Fi est stocké. Les apps peuvent aussi y accéder pour des mots de passe, votre proposition serait vite insupportable…
@nicolasf
Ma proposition était de faire un second trousseau sui reste ouvert avec les mots de passe dont il a besoin.
Mais j'ai confiance qu'AppleId va rendre les mots de passe obsolètes mais le temps que les banques y passe il faudra bien deux décennies.
C’est vraiment bien les bêtas
Alors rien à voir avec la bêta mais en terme de sécurité, j’ai remarqué que mon iPhone X verrouillé dans la poche avant de pantalon se déverrouille et parfois lance des applis tout seul lorsqu’il fait très chaud. Comment est-ce possible ?
@grandwazoo
Simple. Ce n’est pas possible.
@UraniumB
C’est beau la foi !
Peut-être en théorie mais en pratique, ça m’est arrivé plusieurs fois. Et à priori à d’autres personnes. Donc c’est possible
@grandwazoo
« Donc c’est possible »
Évidemment pas ;)
En revanche, si on remet son iPhone dans sa poche juste après un appel avant qu’il soit verrouillé, des tas de choses peuvent se produire.
Idem à partir des alertes affichées sur l’écran d’accueil, en fonction de ce que tu as permis ou pas.
@grandwazoo
J’ai également eu le cas. La dernière fois j’étais à Hong Kong et j’ai laissé un très très long message sur la messagerie vocale d’une amie.
Résultat au retour : facture de 300€ 😱
Jamais personne n’a accès à mon téléphone déverrouillé et si je prends un gars à taper sur mon écran de cette façon il va passer un sale 1/4 d’heure et j’ai pas la bêta 😘
A merde. Ça fonction chez moi. iPhone X
j'ai reproduit le problème sur 6S en mettant un autre doigt (non reconnu) et en cliquant plusieurs fois .
après il ne me demande même plus de mettre le doigt .
beta publique 2 .