L’évènement ou non-évènement de la semaine dernière – la réponse àcette non-question divergeant selon les points de vue – était la sortie de l’iPhone 5 et la mise àdisponibilité de l’iOS 6 (pour tous les iPhones). Mais àpeine sorti, le système d’exploitation de la pomme connaît déjàdes vulnérabilités et par conséquent, son nouveau support, l’iPhone 5. Petit tour d’horizon.

Siri tweete àvotre place

Si vous avez procédé àla MAJ de votre smartphone vers l’IOS 6, vérifiez les paramètres de sécurité. Il semblerait qu’il soit tout àfait possible d’utiliser Siri pour tweeter ou mettre des messages sur Facebook grâce àSiri, même si votre téléphone est verrouillé. L’idée de départ était de permettre d’utiliser Siri pour interagir sur les réseaux sociaux, ce qui est une bonne idée. Ce qui l’est moins, c’est que même verrouillé, un inconnu peut utiliser Siri pour le faire àvotre place. Pour éviter cela, rendez-vous dans Settings > General > Passcode Lock , et mettez off àcôté de Siri dans la partie « Â Allow access when locked  ». Logiquement, pour bien faire, il faudrait tout mettre en off lorsque le téléphone est verrouillé.

Plus qu’une réelle vulnérabilité, disons qu’il s’agit d’un fail de la marque, surtout si les consommateurs ne sont pas prévenus.

Jailbreak

Grant Paul, développeur de son état, nous a fait savoir que Cydia aimait bien les grands écrans de l’iPhone 5. Pour ceux qui ne sont pas bilingue en Apple, Cydia est une sorte de répertoire d’application dédié aux iPhones jailbreakés. Cela permet d’installer des applications compatibles avec l’iPhone sans pour autant avoir besoin de l’accord d’Apple qui n’est pas fan de certains contenus.

Pour autant, il faudra attendre encore un peu avant que le tutoriel du jailbreak ne soit disponible pour le grand public. Mais savoir que le nouveau bébé d’Apple est jailbreakeable àpeine 24h après sa sortie mondiale montre que même les meilleurs verrous ne résistent pas longtemps face àdes gens doués et déterminés.

La fausse mise àjour

En procédant àla mise àdisponibilité de l’iOS6, Apple avait patché et corrigé un certain nombre de vulnérabilités. Mais la maison-mère reste bien silencieuse concernant sur celle qui pourrait être la plus importante et àce jour, la plus dangereuse : les fausses mises àjour. Due àune erreur dans la manière dont le système d’exploitation met àjour certains fichiers de configuration, une faille permet d’autoriser des personnes malintentionnées de faire procéder àleurs victimes àdes mises àjour sur leurs terminaux. La MAJ paraît provenir d’Apple, mais ne l’est pas et installe tranquillement du code malveillant, capable de changer les paramètres de sécurité de l’appareil mais également d’avoir accès àcertains services comme iTunes.

Cette vulnérabilité a été découverte il y a trois ans et ne semble pas avoir de solutions àl’heure actuelle. Elle avait encore fait parler d’elle ce printemps avec Flash. Suivant une politique de l’autruche bien établie, Apple se refuse àcommuniquer sur les découvertes, discussions sur la sécurité de ses produits jusqu’àce qu’une faille ne soit patchée.

La vulnérabilité concernant Safari n’a pas non plus été patchée comme m’en informe Zataz.

Ce que l’on peut retenir, c’est que pour un smartphone frôlant les 700€, il reste encore des « Â détails  » de débutants àrégler. 

Cet article est repris du site http://www.hackersrepublic.org/mobi...