Ouvrir le menu principal

iGeneration

Recherche

iOS 7.1 : retour sur la sécurité

Mickaël Bazoge

mardi 11 mars 2014 à 18:35 • 15

iPhone

Avec iOS 7.1, ce ne sont pas moins de 41 vulnérabilités qu'Apple a comblées. Dans le document relatif aux nouveautés de sécurité de la mise à jour, Cupertino salue les contributeurs qui ont déniché les failles (dont les evad3rs et Google) et décrit les problèmes réglés. Petit tour d'horizon.

iOS 7.1 comble la faille touchant Localiser mon iPhone qui rendait possible sa désactivation sans connaître le mot de passe iCloud (lire : iOS 7 : il est possible de désactiver Find my iPhone sans mot de passe). La bidouille, qui nécessitait un accès physique au terminal, passait par une manipulation certes biscornue, mais très efficace, sauf si on avait pris la sage précaution de verrouiller son appareil avec un mot de passe (ou Touch ID pour l'iPhone 5s).

Une faille touchant FaceTime Audio permettait à un site web de récupérer le numéro de téléphone ou l'adresse e-mail de l'utilisateur surfant sur le site et cliquant sur une URL malveillante à l'intérieur d'une iframe. Safari ne prévenant pas de la connexion automatique de l'appel FaceTime Audio, celui-ci révèle l'identité de l'utilisateur au pirate. Avec iOS 7.1, le navigateur web affiche un avertissement avant de lancer l'appel.

La nouvelle version d'iOS vient également à bout d'un bogue de l'application Photos qui rencontrait parfois des difficultés à effacer complètement son cache. Déjà apparu sous iOS 5, ce problème a refait parler de lui sous iOS 7.0.4 (lire : Un bogue du cache photo d'iOS renaît sous iOS 7.0.4). Avec iOS 7.1, Apple a amélioré la gestion du cache et ce problème ne devrait plus se présenter.

Améliorée également, la gestion des fichiers de profils. Avant iOS 7.1, le système était susceptible de cacher aux yeux de l'utilisateur un profil de configuration avec un nom long. Ce dernier se chargeait correctement, mais était invisible. Un problème d'autant plus gênant que les profils de configuration peuvent être des vecteurs de malwares. Ce problème est donc désormais corrigé.

Les profils de configuration installés sont consultables dans Réglages > Général > Profils

Un élément dans le framework IOKit, qui permet d'accéder à certaines fonctions des composants des terminaux iOS, permettait à des pirates de tracer les interactions d'un utilisateur dans ses applications. Apple y met un terme en renforçant les contrôles d'accès d'IOKit.

Les contacts FaceTime pouvaient être consultés depuis l'écran de verrouillage d'un appareil iOS, par le biais d'un appel manqué. La manipulation, qui nécessitait la présence physique du pirate, est du passé avec iOS 7.1.

La consultation d'un fichier PDF intégrant des images JPEG2000 infectées était susceptible d'injecter dans le terminal de la victime du code arbitraire, ou de crasher une application. C'est réglé.

Une attaque de type HDM (homme du milieu, man-in-the-middle) a frappé l'iTunes Store. Elle pouvait forcer un utilisateur à télécharger une application infectée via le programme d'installation pour entreprises d'Apple. Cette attaque HDM en passait par le remplacement du réseau habituel par un canal compromis, faisant ainsi passer des vessies pour des lanternes à la victime qui croyait télécharger une application légitime sans risque. En resserrant la sécurité autour des redirections URL, l'utilisateur ne devrait plus avoir à souffrir de cette faille.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Prenez-vous des photos avec votre iPad ?

05/04/2025 à 15:00

• 46


Sortie de veille : Apple Intelligence finalement dispo, l’attente récompensée ?

05/04/2025 à 12:17

• 12


Mon écran d'accueil : Pierre et ses trois pages d’apps qu’il n’utilise « pas »

05/04/2025 à 11:00

• 5


Starlink passe à 29 €/mois avec une connexion moins prioritaire

05/04/2025 à 10:48

• 114


La Switch 2 est déjà disponible en précommande chez certains revendeurs, avec des promos 🆕

04/04/2025 à 23:25

• 74


Corning présente le Gorilla Glass Ceramic, encore plus résistant que le Gorilla Glass standard

04/04/2025 à 21:00

• 10


App Store : cinq VPN liés à une entreprise chinoise sur liste noire sont accessibles aux États-Unis

04/04/2025 à 20:30

• 3


Grâce à la Nintendo Switch 2, les cartes (micro)SD Express arrivent enfin

04/04/2025 à 19:30

• 10


Nintendo retarde les précommandes de la Switch 2 aux États-Unis, à cause de Donald Trump

04/04/2025 à 17:33

• 58


Google propose des jeux pour Android Auto

04/04/2025 à 16:15

• 0


Qualcomm abandonne la 5G mmWave avec son Snapdragon 8s Gen 4, comme Apple avec son modem C1

04/04/2025 à 15:30

• 5


iOS 18.4 : les navigateurs tiers peuvent désormais installer des extensions

04/04/2025 à 13:50

• 16


Silence : une application pour bloquer les appels indésirables sans abonnement

04/04/2025 à 12:30

• 99


Certains utilisateurs rencontrent des difficultés avec CarPlay depuis leur passage à iOS 18.4

04/04/2025 à 11:00

• 38


Test de l’iPhone 16e : pour tout le monde, ou presque

04/04/2025 à 09:26

• 33


Guerre commerciale : le cours de l’action Apple en compote

04/04/2025 à 08:44

• 119