Une vidéo fait la démonstration d'une possible faiblesse d'iOS 7 permettant de supprimer un compte iCloud sans avoir besoin de s'identifier au préalable. Après cela, le téléphone, éventuellement entre les mains d'un malandrin, peut être restauré. Normalement, iOS 7 empêche une telle manipulation en obligeant à désactiver l'option Localiser mon iPhone. Mais pour cela, il faut entrer le mot de passe de ce compte iCloud.
Un lecteur de 9to5mac a réalisé une vidéo dans laquelle il parvient à contourner cette étape obligatoire. La manipulation dans l'ensemble est simple et l'étape la plus compliquée est la première. Dans les réglages d'iCloud, il faut toucher simultanément les boutons Localiser mon iPhone et Supprimer le compte. Une double demande confirmation va alors s'afficher à l'écran, ce qui a pour effet de tout bloquer.
Éteignez alors votre téléphone avec le bouton supérieur et redémarrez-le. De retour dans les réglages iCloud, l'option Localiser mon iPhone doit être désactivée et la suppression du compte iCloud peut alors se faire sans autorisation. On peut ensuite restaurer l'iPhone avec iTunes, comme le montre la vidéo.
Malgré des essais répétés, en essayant de se coller au plus près des conditions de la démonstration, nous n'avons pu reproduire cette situation. Nous avons bien obtenu la double demande de confirmation de la première étape avec, en arrière plan le bouton Localiser mon iPhone qui apparaît désactivé. Mais au redémarrage de l'iPhone, ce bouton est d'emblée actif, forçant à entrer le mot de passe pour supprimer le compte iCloud. Si vous avez plus de chance ou êtes plus adroit, n'hésitez pas à le signaler en commentaires. Pour l'heure cela nous laisse un peu dubitatifs.
Cette faiblesse, si elle est avérée, peut se contourner en activant un mot de passe (ou Touch ID) au déverrouillage de l'iPhone. Le mois dernier, un problème similaire avait entrainé un correctif dans iOS 7.1.
Sur le même sujet : - iOS 7 : il est possible de désactiver Find my iPhone sans mot de passe
