L’une des fonctionnalités stars de la mise à jour 12.1, FaceTime en groupe, peut être détournée pour accéder aux contacts d’un iPhone, même s’il est verrouillé.

Cela devient presqu’une habitude. À chaque nouvelle sortie d’une mise à jour, des chercheurs en sécurité informatique mettent le doigt sur l’une ou l’autre faille de sécurité. Des failles qui permettent à des personnes mal intentionnées d’avoir accès aux données et informations privées d’un iPhone. Cette fois-ci, avec la mise à jour iOS 12.1, le problème se trouve dans la nouvelle fonctionnalité phare du système d’exploitation : FaceTime de groupe, la mise à jour permet des vidéoconférences jusqu’à 32 personnes en même temps.

En suivant quelques étapes relativement simples, il est possible d’avoir accès au carnet d’adresses de l’iPhone, et ce, même s’il est verrouillé. Le chercheur qui a mis le doigt sur cette faille, Jose Rodriguez, explique comment celle-ci fonctionne dans une vidéo. Pour exploiter la faille, il suffit d’avoir accès au smartphone ciblé et de connaitre le numéro de téléphone et de suivre les étapes suivantes :

  • Lancer ou recevoir un appel depuis l’iPhone verrouillé
  • Après connexion, changer l’appel en appel FaceTime
  • Sur le nouvel écran, sélectionner « Ajouter une personne à l’appel »

C’est à ce moment-là que le téléphone, même verrouillé, ouvrira les contacts. Dès lors, vous avez accès à toutes les données des contacts enregistrés. Vous pouvez également passer un coup de téléphone à l’un ou l’autre contact.

Bien que la faille ne permette pas d’avoir accès à l’intégralité du smartphone et qu’elle nécessite d’avoir le téléphone sous la main, cela reste un problème de sécurité non négligeable. La manipulation reste totalement enfantine, puisqu’elle ne demande aucune connaissance technique. Parfaite pour une attaque ciblée.

Apple semble avoir été mis au courant du souci et travaille actuellement sur un correctif. En attendant sa mise en place, il serait intéressant de protéger son iPhone. La seule chose possible est de désactiver Siri sur l’écran de verrouillage. En effet, une personne mal intentionnée qui ne connait pas votre numéro de téléphone – nécessaire pour utiliser la faille -, pourra le demander à Siri si l’option est activée.

Dans les réglages du téléphone, direction « Face ID et code » et désactivez Siri en mode verrouillage.