Mise à jour Apple iOS 10.2 : bugs dans “Localiser mon iPhone” et verrouillage d’écran résolus

MobilitéProtection des donnéesResponsables ITAppleCybercriminalitéiOSiPhone
10.2 mise à jour apple

Mise à jour Apple iOS 10.2 : bugs résolus dans “Localiser mon iPhone” et le verrouillage d’écran

10.2 mise à jour appleApple vient de sortir la version iOS 10.2, la dernière mise à jour Apple pour tous ces iDevices.

Beaucoup d’articles, que vous avez déjà certainement lus à ce sujet, évoquent plutôt les nouvelles fonctionnalités intégrées au sein de cette nouvelle mise à jour Apple, et listées au niveau du menu de mise à jour de logiciels comme suit :mise à jour apple

Ainsi, vous trouverez une nouvelle application intégrée pour les films et les émissions TV, mais cette dernière n’est disponible qu’aux Etats-Unis, avec plus d’une centaine de nouveaux émojis.

NB : Nous n’étions pas sûrs concernant le pluriel pour émoji, et pour lequel notre légendaire dictionnaire New Oxford American nous a offert soit émoji, soit émojis. Nous avons donc décidé d’opter pour émojis !

Bien sûr, la raison principale pour installer cette dernière mise à jour Apple n’est pas la présence de tous ces nouveaux icônes miniaturisés, mais bien la sécurité renforcée.

Une raison cruciale pour installer cette mise à jour Apple 10.2 est le signalement récent d’une astuce pour contourner la fonction de sécurité “Localiser mon iPhone".

Ironiquement, en l’activation de la fonction “Localiser mon iPhone" est supposée rendre votre téléphone quasiment inutilisable pour un cybercriminel, et impossible du coup de le revendre.

Cependant, pour faire fonctionner cette fonctionnalité, votre équipement doit être inutilisable pour la personne qui a mis la main dessus, et ensuite il doit être capable de se connecter au réseau afin de passer les étapes de vérification de sécurité indispensables, pour retirer le verrouillage d’activation après avoir récupérer votre téléphone.

Cela signifie pouvoir atteindre l’écran de connexion iOS, afin de choisir le réseau en question et saisir le mot de passe Wi-Fi si nécessaire. En réalité, c’est justement à cet endroit que les experts ont découvert un possible bypass.

En saisissant un mot de passe ridiculement long, jusqu’au blocage du processeur, en chargeant le CPU encore davantage en faisant tourner l’écran dans un sens et puis dans un autre, tout en recouvrant la webcam et la découvrant de nouveau pour changer la luminosité, l’écran de connexion fini donc par crashé.

Avec un peu de chance, et surtout un très bon timing en appuyant sur le bouton Home, les cybercriminels peuvent avoir accès au menu principal apparemment sans authentification, en contournant donc le verrouillage d’activation, et en rendant ainsi effectivement “Localiser mon iPhone" inutilisable.

Il semble que le bug permettant à un cybercriminel de contourner le verrouillage (ou de revendre potentiellement votre équipement sans se faire prendre), désigné sous le nom CVE-2016-7638, ait été résolu.

5 bugs de plus au niveau de l’écran de verrouillage

Cependant, il s’avère que la mise à jour Apple iOS 10.2 patche toute une série de problèmes au niveau de l’écran de verrouillage, y compris certains qui peuvent être considérés comme assez sérieux.

Selon les propres désignations d’Apple :

  • CVE-2016-7664 : une personne avec un accès physique à un équipement sous iOS peut avoir accès aux photos et aux contacts à partir de l’écran de verrouillage.
  • CVE-2016-7601 : l’équipement peut ne pas verrouiller l’écran après le fameux lapse de temps d’inactivité.
  • CVE-2016-7653 : un utilisateur peut avoir accès aux photos et aux contacts à partir de l’écran de verrouillage.
  • CVE-2016-4781 : une personne avec un accès physique à un équipement sous iOS peut déverrouiller l’équipement en question.
  • CVE-2016-7597 : une personne avec un accès physique à un équipement sous iOS peut réussir à conserver l’équipement non verrouillé.

2 bugs de type RCE (Remote Code Execution) étaient aussi présents, ce type de failles qui peut être utilisé pour effectuer un jailbreak si vous êtes un “good boy”, ou bien pour installer un malware si vous êtes plutôt un “bad boy”.

Sans oublier, une vulnérabilité impliquant des équipements piégés de type clés UBS, connus sous le nom d’“équipements images”, même si Apple ne précise pas s’il s’agit également d’équipements tels que des cartes SD, ou encore des équipements de saisie ou d’enregistrement, tels que des microphones ou des claviers.

En connectant, ce qu’Apple désigne généralement comme étant un équipement HID malveillant” (HID est l’acronyme de Human Interface Device).

Quoi faire ?

Etant donné le nombre de problèmes liés à l’écran de verrouillage, nous considérons qu’il s’agit d’une mise à jour Apple 10.2 urgente à installer.

Rendez-vous donc dans Réglages | Général | Mise à jour logiciel, si vous ne l’avez pas encore fait !

Nous avons installé la mise à jour Apple presque immédiatement après avoir reçu l’avertissement sécurité par email, via le listing d’Apple Product Security, et nous n’avons rencontré aucun problème après une journée entière d’utilisation du téléphone.

//platform.twitter.com/widgets.js
Partagez Mise à jour Apple iOS 10.2 : bugs dans “Localiser mon iPhone” et le verrouillage d’écran résolus : http://wp.me/p2YJS1-36K
Billet inspiré de Apple ships iOS 10.2, fixes ‘Find my iPhone’ hole plus five lockscreen bugs, par Paul Ducklin, Sophos NakedSecurity.

2 Commentaires

Iphone 4S
IOS 9.3.5
Comment obtenir le IOS 10.2 ?
Merci

Reply

Bonjour Michel, merci de cette question.
Là tu as une limitation du matériel. L’iPhone 4S est limité à la dernière version d’iOS 9 et ne peut pas upgrader en iOS 10. La firme à la pomme conseille dans ces cas là de changer ton smartphone.

Reply

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.