Dans iOS 11.2, HomeKit présente une faille « zero day », qui pouvait permettre à un malandrin de prendre le contrôle d'accessoires domotiques — et quand on sait qu'il existe des serrures connectées censées protéger des habitations, l'affaire a été prise très au sérieux par Apple. Le constructeur a bouché une partie de la faille côté serveur et avec les versions finales d'iOS 11.2 et watchOS 4.2. Ce patch limite certaines fonctions de HomeKit. Côté client, une mise à jour pour iOS sera livrée dans le courant de la semaine prochaine, elle rétablira l'intégralité des fonctions de la plateforme domotique.
C'est 9to5Mac qui est tombé sur cette vulnérabilité que le site ne compte pas décrire en détails, pour des raisons évidentes de sécurité. La faille concerne le framework HomeKit plutôt que des appareils individuels ; elle permet donc le contrôle par un tiers d'un produit HomeKit : une nuisance s'il s'agit d'une ampoule, un sérieux problème de sécurité pour une serrure connectée.
La manipulation est « difficile à reproduire ». Elle nécessite un iPhone ou un iPad sous iOS 11.2, connecté au compte iCloud de l'utilisateur. Apple est au courant de cette vulnérabilité depuis la fin du mois d'octobre, elle a été en partie corrigée avec les versions finales d'iOS 11.2 et de watchOS 4.2, mais pas complètement, d'où le patch côté serveur. Ce correctif a un défaut, il désactive l'accès des produits HomeKit aux utilisateurs partagés. Cette fonction sera rétablie dans une prochaine mise à jour d'iOS.
Les utilisateurs n'ont rien de spécial à faire, si ce n'est attendre la mise à jour.
Source :
