Les iPhone sous iOS 12 sont visés par un bug assez gênant, puisque ce dernier donne accès aux photos depuis l'écran de verrouillage, sans aucun code. La faille semble fonctionner jusque sur iOS 12.0.1 et permet, en plus de consulter les photos, de les envoyer sur un autre iPhone – autrement dit de les exfiltrer. 

On vante souvent la sécurité des iPhone par rapport aux smartphones Android, mais objectivement, aucun smartphone n'est vraiment Fort Knox. Ce qui est bien dommage, vu la quantité de données personnelles qui s'y trouvent. Vous vous souvenez sans doute du mal fou que l'iPhone d'un terroriste avait donné au FBI qui tentait d'accéder à ses données. Or depuis, il existe de multiples techniques relativement peu coûteuses permettant d'accéder au contenu de la mémoire des iPhone et donc contourner leur sécurité. Des Youtubeurs ont par exemple montré qu'il était possible de dessouder la puce mémoire pour la mettre dans un adaptateur permettant d'accéder à son contenu (cf dernière vidéo).

iPhone : ce bug donne accès aux photos sans aucun code

Mais on est d'accord, ces techniques requièrent tout de même un minimum de connaissances en micro-soudure (et l'équipement qui va avec) ce qui n'est pas forcément à la portée de tout le monde. Or, un nouveau bug permet d'accéder à certaines données personnelles sans code, sans modification matérielle ou appareil tiers : il suffit de connaître une séquence de touches et de commandes vocales. Cette nouvelle technique qui fonctionne même sur les dernières versions d'iOS 12, met à parti Siri et VoiceOver. Des maillons faibles déjà exploités dans d'autres failles semblables permettant elles-aussi d'accéder aux photos sous iOS sans code.

Sauf qu'à ce stade, on s'interroge : après tant de failles similaires, pourquoi Apple n'arrive pas à verrouiller complètement l'accès aux photos depuis l'écran d'accueil ? Pour ceux que cela intéresse, voici les étapes en Français de la vidéo en fin d'article :

• Appelez l'iPhone de la victime – si vous ne connaissez pas son numéro, demandez à son Siri “Qui Suis-Je” ou dictez-lui votre numéro de téléphone pour qu'il vous appelle
• Sur l'iPhone de la victime, ne décrochez pas et touchez Messages puis Personnalisé pour répondre par message texte
• Tapez n'importe quoi dans le champ texte
• Demandez à Siri d'activer VoiceOver
• Touchez l'icône caméra
• Invoquez Siri avec le bouton sur l'iPhone tout en double tapant sur l'écran (il est possible de répéter cette étape si cela ne fonctionne pas a première fois)
• Si cela a marché, l'écran devient noir : swipez votre doigt vers le coin gauche du haut de l'écran, où VoiceOver dira à voix haute ce que vous avez sélectionné
• Continuez à swiper jusqu'à ce que VoiceOver dise le mot “Photo”
• Double tapez l'écran pour sélectionner la bibliothèque de photos : vous êtes de retour dans l'application message, et il y a un espace blanc sous le champ texte – c'est là que se cachent les photos !
• Maintenant utilisez VoiceOver pour sélectionner les photos invisibles et vous dire ce qu'il y a dedans
• Si vous double tapez, la photo apparaîtra collée dans le champ texte

Pour l'instant, ce bug reste actif sur tous les iPhone même l'iPhone XS sous la dernière version d'iOS 12. Pour s'en prémunir, la seule solution est de désactiver Siri depuis l'écran d'accueil. Pensez-vous que la sécurité d'iOS vs Android est surfaite ? Partagez votre avis dans les commentaires.