Apple: Le verrouillage d'activation d'iOS encore vulnérable

Introduit avec la sortie d'iOS 7, le verrouillage d'activation est en marche sur un iPhone ou un iPad dès lors que la fonction «Localiser mon iPhone» est activée. Cette mesure de sécurité, qui exige le compte Apple et le mot de passe de l'utilisateur, permet en cas de perte ou de vol d'un appareil de le réactiver ou d'en effacer le contenu. Or, un chercheur en sécurité, Hemanth Joseph, a documenté qu'il était possible de la contourner.

La vulnérabilité a été découverte après avoir forcé le système de blocage d'un iPad acheté en ligne sur eBay, a-t-il expliqué. Sa technique consiste à utiliser la méthode classique du dépassement de mémoire tampon. Il a en effet remarqué qu'il était possible de faire planter iOS en entrant un maximum de caractères dans tous les champs de texte du panneau des réglages wi-fi et en jouant avec l'extinction automatique de l'écran provoquée par la Smart Cover, la protection repliable de la tablette. Il a ainsi finalement réussi à accéder au contenu de l'iPad.

Apple a bien corrigé le problème avec la version 10.1.1 d'iOS, mais des chercheurs de Vulnerability Lab ont montré qu'il était toujours possible d'exploiter la vulnérabilité avec une méthode similaire, en utilisant cette fois-ci le mode nuit de l'appareil, le verrouillage de rotation, ainsi que le bouton principal, comme ils le montrent dans une vidéo de démonstration publiée sur YouTube. Ne reste donc plus qu'à Apple le soin de mettre encore une fois à jour son système d'exploitation mobile.