On apprenait hier que deux hackers avaient réussi à contourner la protection mise en place par Apple pour les appareils iOS verrouillés grâce à iCloud (lire : Le Verrouillage d’activation entièrement intégré à Localiser mon iPhone). Rappelons qu’en cas de vol ou de perte d’un iPhone ou iPad, un utilisateur peut bloquer le terminal à distance et, en théorie du moins, seul Apple peut le débloquer pour pouvoir à nouveau l’utiliser.
La team doulCi a toutefois trouvé un moyen de déverrouiller n’importe quel appareil iOS bloqué via iCloud. Il suffit d’utiliser un ordinateur configuré correctement — une ligne à ajouter dans un fichier de configuration — et de connecter l’appareil bloqué à iTunes, et tout se fait automatiquement. L’idée étant que le logiciel ne communique plus seulement avec les serveurs d’Apple, mais aussi ceux mis en place par les hackers. De quoi tromper les serveurs Apple en faisant croire que l’appareil peut bien être débloqué.
En d’autres termes, un voleur peut désormais facilement débloquer un iPhone ou iPad et le revendre sans problème. C’est précisément ce scénario qu’Apple voulait éviter avec cette fonction, mais si une telle solution de contournement existe, elle invalide la protection. Certains auraient exploité immédiatement cette solution pour vendre des déblocages, les deux hackers derrière doulCi ont préféré faire les choses correctement. Ils ont ainsi prévenu Apple de leur découverte il y a plusieurs mois, mais le constructeur n’a rien fait.
Cult of Mac rapporte que l’entreprise de Tim Cook a fini par réagir en envoyant un mail… hier. Dans ce courrier, Apple demande aux hackers de les contacter au plus vite, sans doute pour corriger la faille devenue publique. Mais le hacker n’a pas répondu, jugeant que le constructeur a réagi beaucoup trop tard. De fait, on se demande bien pourquoi Apple n’a pas corrigé la faille il y a plusieurs mois de cela, et pourquoi il a fallu attendre une énorme exposition médiatique pour enfin réagir.
Une réaction tardive qui pourrait causer beaucoup de tort : doulCi est en place et disponible pour qui veut, et on imagine bien que ce ne sont pas les personnes intéressées qui manquent… À noter toutefois, si l’envie vous prenait d’essayer, que les téléphones ne peuvent plus utiliser de cartes SIM après l’opération. Autant dire que cela limite l’intérêt du système, mais ses deux créateurs travaillent sur un correctif.
