Les fonctionnalités regroupées sous le nom Temps d’écran sont censées protéger les appareils iOS et macOS des enfants en bloquant des apps ou sites web. Ces protections sont loin d’être infaillibles, avec de nombreuses failles dénichées au fil des années. Le Wall Street Journal évoque dans un article une faille jusque-là peu connue, où l’ajout de quelques caractères dans la barre d’URL de Safari permet de contourner toutes les protections de Temps d’écran et d’accéder à n’importe quel site web, même ceux bloqués par les parents. La bonne nouvelle, c’est qu’Apple corrigera la faille dans une prochaine version d’iOS. La mauvaise, c’est qu’elle la connaissait depuis trois ans.
En effet, Joanna Stern explique avoir reçu les informations sur cette faille dans Temps d’écran de la part d’un duo de chercheurs en sécurité, Andreas Jägersberger et Ro Achterberg. Le premier a découvert un bug courant 2020 qui permet de contourner les restrictions dans Safari. Ils ont soumis leur découverte auprès de l’équipe en charge de la sécurité chez Apple en mars 2021 et ont obtenu rapidement une réponse indiquant qu’il ne s’agissait pas d’une faille de sécurité et qu’ils devaient la transmettre via Feedback, l’outil d’Apple qui permet d’envoyer des rapports de bugs ou suggestions. C’est ce qu’ils ont fait dans la foulée et n’ont reçu strictement aucun retour.
Quelques mois plus tard, les deux chercheurs ont contacté les spécialistes en sécurité d’Apple pour tenter d’y voir plus clair. Ils ont reçu la même réponse, à savoir qu’il ne s’agissait pas d’un problème lié à la sécurité d’iOS. Ce qui est faux, d’après eux, car ce même bug qui permet de contourner les restrictions de Temps d’écran pourrait servir à des attaques ciblées qui pourraient aisément passer à travers les sécurités mises en place dans les entreprises ou organismes gouvernementaux. Leurs arguments n’ont pas été entendus et leurs tentatives successives de communiquer avec Apple ont toutes échoué.
C’est pourquoi ils ont décidé, trois ans plus tard, de contacter la journaliste du Wall Street Journal et de lui présenter leurs recherches. Comme toujours, le quotidien a contacté Apple pour obtenir un commentaire et cette fois, la réponse ne s’est pas fait attendre. L’entreprise a reconnu le problème et promis un correctif rapide, tout en notant qu’il y avait eu des améliorations du côté de Temps d’écran dans iOS 17.5.
Tant mieux si la faille est finalement comblée, même si l’absence de réaction de la part d’Apple tant que la presse n’avait pas été impliquée est un gros problème. La faille était peut-être exploitée depuis trois ans, voire plus longtemps, et l’alerte de deux chercheurs en sécurité aurait largement dû suffire à la combler.
Source :
