Bug sur iPhone 6s : le problème de l’écran de verrouillage est résolu !

Les écrans de verrouillage sur les téléphones mobiles sont devenus des véritables poisons.

La théorie est simple : après une court lapse de temps, choisi de façon judicieuse (nous recommandons un maximum de 2 minutes malgré la gêne occasionnée), votre téléphone se verrouille.

Ensuite, lorsque vous essayez de nouveau d’utiliser votre téléphone, un écran apparaît sur lequel vous devez taper un code, ou bien scanner votre empreinte digitale, avant de pouvoir avoir accès de nouveau à votre téléphone, aux applications et à vos données présentes sur l’équipement en question.

Les avantages de cet écran de verrouillage sont évidents : il rend bien plus complexe pour un hacker, qui s’emparerait de votre téléphone, de mettre la main sur vos données personnelles par la même occasion, et il vous protège également de certains jeux puérils que des soi-disant amis aiment pratiquer, dès qu’ils voient votre téléphone sans surveillance.

Néanmoins en pratique, les écrans de verrouillage deviennent un élément crucial, plus par les restrictions à apporter aux fonctionnalités utilisables sans savoir le code en question, que pour l’action de verrouillage elle-même.

Certaines de ces fonctions utilisables à n’importe quel moment existe pour des besoins de réglementation, tels que la nécessité de composer des numéros d’urgence sans avoir à déverrouiller votre téléphone.

Si vous êtes pris de panique ou pressés, la possibilité de composer le 112 (ou 911, 999, 000, etc) sans avoir à vous débattre avec votre code semble avoir du sens.

Cependant, beaucoup d’autres fonctions “utilisables à n’importe quel moment”, le sont uniquement pour des raisons pratiques, telles que l’accès à l’appareil photo en tapant sur l’icône depuis l’écran verrouillé du téléphone, afin de prendre des photos sans authentification préalable.

En contradiction avec la notion de cybersécurité

Vous pouvez facilement deviner pourquoi ce type de fonctionnalité est en contradiction avec la sécurité : toute exception spécifiquement programmée au niveau de l’écran de verrouillage, ouvre la porte à n’importe quel risque nouveau.

Par exemple, après avoir pris des photos avec un iPhone verrouillé (une fonction qui malheureusement ne peut pas être désactivée), vous pouvez naviguer et même les éditer en utilisant l’application Photos…

… mais seulement les photos que vous venez de prendre, ainsi vous ne pouvez pas utiliser l’application Photos pour vous promener et visionner des photos déjà présentes sur le téléphone.

En d’autres termes, l’application Photos est devenue plus complexe afin de pouvoir offrir un mode fonctionnement dégradé.

Malheureusement, il existe beaucoup d’autres applications que vous pouvez autoriser à fonctionner, en mode dégradé bien sûr, depuis l’écran verrouillé de votre téléphone.

De plus, chaque nouvelle application accessible depuis l’écran de verrouillage augmente le risque au niveau de vulnérabilités qui seraient justement utilisées au moment même où vous pensez votre téléphone sécurisé.

Le risque de Siri

Historiquement, l’application la plus risquée à activer, au niveau de l’écran de verrouillage, est le système de commande vocale Siri, qui a déjà été impliqué dans de nombreux bugs de l’écran de verrouillage et autres problèmes de sécurité ces dernières années.

Par exemple, les failles de sécurité exploitant Siri, activé au niveau de l’écran de verrouillage, utilisent le fait que Siri a besoin de savoir quelle commande vocale est hors limite lorsque votre téléphone est verrouillé.

Comme vous pouvez l’imaginer, une erreur ou une omission au niveau de cette liste des commandes acceptées par Siri, peut se transformer en une backdoor non-officielle.

Nous avons écrit au sujet de tels bugs auparavant, et un autre est apparu cette semaine au niveau de YouTube.

Les dernières nouvelles au sujet de Siri font apparaitre une séquence de ce type :

Jusque-là, cette séquence semble plutôt inoffensive, et ressemble à une séquence de commandes vocales autorisée depuis l’écran de verrouillage.

Après tout, ces commandes effectuent seulement une recherche de données sur Twitter qui ont déjà été postées publiquement, soit par vous ou par quelqu’un d’autre.

Le problème était au niveau des propriétaires d’iPhone 6S (ou 6S Plus), équipés de cette nouvelle fonction 3D Touch (écran sensitif pour contrôler votre appareil d’un geste). En effet, vous pouvez utiliser une manière bien particulière de presser sur l’écran au niveau de l’adresse email dans le tweet que vous venez de trouver.

Cette pression sur l’écran fait alors apparaitre un menu contextuel sensitif, vous donnant accès à l’application Contacts, afin que vous puissiez ajouter cette nouvelle adresse email à vos contacts.

Etant donné la spécificité de cet accès à l’application Contacts par programmation, qui d’ailleurs n’existait pas avant l’apparition de 3D Touch, il est possible que cette fonction n’ait jamais été identifiée, testée ou bloquée, comme un possible raccourci pour contourner l’écran de verrouillage.

Cependant, une fois que vous avez ouvert l’application Contacts, vous pouvez avoir accès à toute la liste des contacts, et ce même en partant d’un écran verrouillé et sans avoir le code pour le déverrouiller.

Pas de mise à jour nécessaire pour résoudre ce bug sur iPhone

La résolution de ce bug sur iPhone s’est avérée facile à mettre en œuvre, ne nécessitant aucune nouvelle mise à jour d’iOS. Ce sui n’est pas plus mal d’ailleurs car la dernière version 9.3.1 d’iOS est sortie il y a seulement une semaine.

Pour résoudre ce bug sur iPhone ou plutôt pour le contourner, il semble qu’Apple ait tout simplement reconfiguré Siri, afin de ne pas lui permettre d’ouvrir des commandes Twitter, depuis l’écran de verrouillage.

Cette opération ne nécessitait pas une mise à jour car le traitement vocal de Siri est fait “dans le Cloud”, et pas sur votre téléphone.

OS X a la possibilité d’installer la base de données des correspondances vocales de Siri localement, afin de réaliser tout le traitement localement également. Cependant, les iPhones n’ont pas assez de puissance pour réaliser cette opération de traitement ou ne possèdent pas des fichiers de stockage suffisants pour cela.

En conséquence, Siri présent sur votre téléphone n’effectue pas toutes ses opérations localement : les commandes vocales sont toujours uploadées au niveau des serveurs Apple pour être traitées.

Ironiquement une fonctionnalité basée au niveau du Cloud, et qui avait été critiquée par le passé pour mettre en danger la confidentialité et la sécurité (du fait du traitement de votre voix à distance) s’est retrouvé être une manière plutôt pratique de résoudre un bug sur iPhone relevant d’un problème de confidentialité et de sécurité (du fait du traitement de votre voix à distance !).

Quoi faire ?

Bien que cette astuce ne marche plus, Siri reste une faille au niveau de votre écran de verrouillage, ainsi nous vous recommandons fortement de ne pas l’autoriser.

En effet, si vous avez une solution Mobile Device Management, qui peut localement mettre en œuvre les règles de sécurité pour iOS au sein de votre organisation, nous vous recommandons “pas de Siri au niveau de l’écran de verrouillage” et ce comme réglage par défaut pour l’ensemble de votre entreprise.

Cependant, il existe un inconvénient : vous ne pourrez plus faire une vérification rapide “sans les mains”, pour voir si quelqu’un a parlé de vous sur Twitter et ce pendant que vous êtes en train de conduire !

Mais nous pensons que vous pourrez très bien vivre sans cela.

Suivre @SophosFrance
Billet inspiré de “Panic over! Apple fixes iPhone 6S lockscreen bug” par Paul Ducklin de Naked Security
Partagez “Bug sur iPhone 6s : pas de panique, le problème de l’écran de verrouillage est résolu !” avec http://wp.me/p2YJS1-2Cy