Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Siri : un traitre dans l’iPhone ?

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Mise à jour : il est possible de désactiver cette fonctionnalité… et nous vous le conseillons ! (voir en fin d’article) 

Nouveauté de l’iPhone 4S, l’assistant personnel vocal Siri est sans contexte le point fort de ce nouvel appareil. Développé initialement avec le soutien de DARPA (Defense Advanced Research Projects Agency, qui a également financé les premières recherches pour donner naissance à Internet), Siri apparaît à l’usage comme une véritable Intelligence Artificielle tout droit sortie d’un film de science-fiction.

A l’usage cet héritier des HAL et autres SkyNet est terriblement séduisant : non seulement sa reconnaissance du langage naturel est exceptionnelle (y compris en Français), mais surtout Siri est désormais étroitement intégré au système : contrairement aux applications tierces disponibles sur l’AppStore, Siri accède nativement aux SMS, aux courriers électroniques ou au carnet d’adresses, par exemple.

Et c’est là que le bât blesse : nos premiers essais ont démontrés que dans sa configuration par défaut Siri pouvait révéler à n’importe qui les informations de n’importe quel contact du carnet d’adresse, ou encore permettre à un inconnu d’envoyer un email à votre place. Et ceci même si le terminal est verrouillé. Comment ? Il suffit de le demander à Siri, bien sûr !

Le problème vient du fait que Siri est accessible en pressant longuement le bouton central de l’iPhone, même si celui-ci est verrouillé. Siri apparaît alors, prêt à obéir. Si Apple semble avoir prévu le coup pour la lecture des SMS ou des courriers électroniques (Siri indique qu’il faut déverrouiller l’appareil), ce n’est pas le cas pour ses autres fonctionnalités (voir plus bas comment désactiver cette fonctionnalité)

Ainsi il est possible de demander à Siri d’envoyer un email : l’IA affiche alors un formulaire de saisie et nous demande de lui dicter l’adresse du destinataire, l’objet du courrier et enfin son contenu. N’importe qui s’emparant d’un iPhone verrouillé est donc en mesure d’usurper par email l’identité de son propriétaire.

Email composé par Siri

Cet email a été composé sur un iPhone verrouillé

Mais il y a pire : en demandant à Siri d’afficher les coordonnées de tel ou tel contact, celui-ci s’exécute et révèle toutes les informations dont il dispose. « Montre moi Untel« , par exemple, révèle à l’écran la totalité de la fiche du contact en question. Bien entendu, il est possible de ne demander que le numéro de téléphone ou l’adresse du contact (« Montre moi l’adresse de« , ou « Affiche moi l’adresse email de« …). Siri est très efficace… mais hélas peu regardant sur l’identité de celui qui lui pose la question !

La même technique peut aussi être utilisée pour envoyer des SMS ou passer des appels… De quoi alourdir à son insu la facture de n’importe quel propriétaire d’iPhone…

Ce comportement représente bien entendu en l’état une faille importante, capable notamment de jolies fuites de données. Et pourtant Siri est probablement la plus formidable fonctionnalité que nous ayons utilisée sur un téléphone (oui, nous sommes fans !), et gageons que quiconque aura essayé Siri refusera de le désactiver !

Fort heureusement (et merci à nos lecteurs vigilants pour nous avoir indiqué la chose !), il est possible de désactiver Siri lorsque l’iPhone est verrouillé par code. Il suffit pour cela d’aller dans le menu « Verrouillage par code » des réglages généraux et désactiver l’usage de Siri depuis l’écran de verrouillage.

Pensez-y si votre iPhone doit être régulièrement manipulé par d’autres que vous !


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

15 réponses à Siri : un traitre dans l’iPhone ?

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.