L’expert cybersécurité espagnol José Rodríguez a récemment publié une vidéo YouTube de son dernier contournement de l’écran de verrouillage iOS : celui-ci permet de duper un iPhone pour qu’il affiche son carnet d’adresses sans avoir à déverrouiller l’écran.
L’expert a déclaré à The Register qu’il avait trouvé ce contournement en juillet dernier dans la version iOS 13 bêta.
Comme le montre la vidéo, le contournement consiste à recevoir un appel et à choisir de répondre par un message texte, puis de changer le champ “à”du message, ce que vous pouvez faire par voix off. Le champ “à” affiche la liste des contacts du téléphone, permettant ainsi aux personnes malintentionnées de la parcourir sans avoir à déverrouiller votre téléphone.
Il ne s’agit pas un bug terriblement grave. Pour l’exploiter, les fouineurs doivent mettre la main sur l’appareil de la victime, puis l’appeler depuis un autre téléphone.
Il semblerait également qu’il soit assez facile de s’en protéger : en effet, un lecteur a tweeté après que The Register a publié son article, et il vous suffit d’aller dans Réglages>Face ID et code> Autoriser l’accès en mode verrouillé et désactiver l’option Répondre par message. Cette fonctionnalité est apparemment activée par défaut dans iOS 13.
And yet, seemingly mitigated by toggling the attached option. Was not able to reproduce the vulnerability any longer after disabling this option on the iOS 13 GM build. Would love additional confirmation, though. pic.twitter.com/EbgC4w04et
— Andrew Maxey (@andrewmaxey) September 13, 2019
De plus, la solution à ce contournement de l’écran de verrouillage a été trouvée dans une version iOS 13 bêta qui n’a donc pas la même valeur qu’un bug dans un produit déjà commercialisé dans sa version définitive. C’est apparemment la raison pour laquelle Apple serait revenu sur sa promesse initiale d’offrir à Rodríguez le “cadeau” qu’il avait demandé.
Selon le chercheur, il voulait une carte Apple Store à 1$. Il a dit à The Register qu’il la voulait comme une sorte de trophée. Selon Rodríguez, Apple a d’abord dit oui, avant de se rétracter :
J’ai contacté Apple pour lui demander de m’offrir un cadeau afin de me remercier d’avoir signalé un contournement du code de déverrouillage. Apple a accepté.
J’ai signalé le problème de sécurité, puis Apple s’est rétracté, en s’excusant et m’a dit qu’il ne pouvait pas offrir de récompenses pour des signalements de problèmes de sécurité dans une version bêta.
OK… les règles sont les règles… mais… vraiment ? Nous parlons ici d’un pirate de haute volée spécialisé dans les écrans de verrouillage. Ne mérite-t-il pas un petit quelque chose tout de même ?
Même si sa dernière découverte n’est pas très préoccupante d’un point de vue de la sécurité, son bilan est plutôt étonnant. Voici donc la chronologie que j’ai reconstituée concernant ses derniers exploits réussis qui l’ont conduit à sa dernière découverte en date. Si vous en connaissez d’autres, faites le moi savoir :
- Mi-octobre 2018 : il découvre un nouveau contournement de l’écran de verrouillage de l’iPhone sous iOS 12.0.1 qui expose vos photos…
- De même avec la version iOS 12.0.1, sortie par Apple une semaine auparavant pour résoudre une série de problèmes survenus avec iOS 12, et dans laquelle deux failles de contournement de l’écran de verrouillage distinctes ont été publiées par Rodríguez à la fin du mois de septembre 2018. L’un des faits les plus marquants survenus lors du lancement d’iOS 12 à la mi-septembre, qui était censée incarnée un renforcement de la sécurité. Aie !
- Il était déjà connu pour avoir trouvé d’autres contournements d’écrans de verrouillage iOS. En 2016, Rodríguez a découvert un bug dans Siri qui permettait à une personne de contourner l’écran de verrouillage et d’accéder aux contacts et aux photos. Et avant cela…
- En 2015, il avait trouvé un bug dans Siri qui rendait l’écran de verrouillage dans iOS 9 peu fiable : encore une fois, il permettait à quiconque de voir vos photos et vos contacts. Mais attendez, il y a plus encore :
- En 2013, il avait trouvé (encore une fois) un bug au niveau de l’écran de verrouillage dans iOS 6.1.3 qui permettait à des personnes non autorisées de contourner l’écran de verrouillage d’un iPhone 4 en utilisant rien de plus qu’un trombone !
The Register signale qu’à ce jour, Apple n’avait toujours pas corrigé cette dernière vulnérabilité.
Certes, si vous décidez de ne rendre accessible que certains éléments lorsqu’un iPhone est verrouillé, au lieu de mettre en place une limite stricte, les problèmes de ce type seront probablement assez difficiles à résoudre. En effet, ce constat se confirme lorsque vous observez la longue liste de contournements découverts par Rodríguez, certains quelques semaines à peine après qu’Apple a résolu le contournement qu’il avait découvert avant la mise à jour.
Mais après tout, dans des circonstances normales, votre téléphone est conçu pour être convivial et pratique (téléphone, SMS, contacts, etc.), et le passage d’une application à une autre est censé être simple et fluide.
Pourtant, à ce stade, vous vous demandez pourquoi Apple ne se contente pas de donner ce maudit téléphone à Rodríguez dans le cadre de ses procédures de test standard.
Allez Apple, donne-lui juste un téléphone ! Et sa carte à 1$, dans un joli cadre pour qu’il puisse l’accrocher au mur !
Billet inspiré de iPhone lockscreen bypass: iOS 13 tricked into showing your contacts, sur Sophos nakedsecurity.