Les iPhone peuvent être piratés avec un simple numéro de téléphone : c'est la découverte d'un chercheur en cybersécurité turc. Celui-ci met en évidence une faille d'iCloud qui permet d'accéder à certaines données sensibles d'un utilisateur (en particulier ses notes) en changeant simplement le numéro de téléphone associé à un Apple ID. Apple affirme avoir corrigé la faille en novembre mais refuse de dire depuis combien de temps celle-ci était active ou le nombre d'utilisateurs potentiellement touchés par le problème. 

The Hacker News révèle l'histoire d'une faille de sécurité potentiellement très dangereuse découverte par un chercheur en sécurité turc. Faille autour de laquelle Apple reste extrêmement discret. En octobre 2018, Melih Sevim a ainsi révélé à Apple, vidéo à l'appui, comment un pirate pouvait exploiter une vulnérabilité d'iCloud pour extraire des données sensibles sur n'importe quel utilisateur d'iPhone : “j'ai découvert que lorsqu'un transfert actif de données a lieu entre l'utilisateur et les serveurs d'Apple, si j'ouvre mon compte iCloud (d'attaquant), il est possible de voir des données au hasard à chaque rafraichissement à cause de ce bug”, explique l'expert en sécurité à The Hacker News.

Lire aussi : une nouvelle faille bluetooth met en danger des millions de smartphones Android et iPhone

Un numéro de téléphone suffisait à pirater n'importe quel iPhone

Concrètement, Melih Sevim a réussi à exploiter un bug plutôt inquiétant quant à la façon dont Apple gère les données personnelles des utilisateurs iCloud. Ces comptes sont en effet liés au numéro de téléphone portable de l'utilisateur. En changeant le numéro de téléphone associé à un compte iCloud par celui d'une victime, un bug laisse fuiter des données partielles sur le compte de l'attaquant. Ces données incluent en particulier des notes de l'application iCloud du même nom. Or le problème, selon le chercheur, c'est que les utilisateurs ont tendance à y noter des informations sensibles, notamment bancaires.

Le chercheur explique : “supposons que le numéro de téléphone portable de [email protected] soit 12345. Lorsque j'entre 12345 dans mon compte AppleID  [email protected], je pouvais voir les données de abc sur le compte xyz […] pendant mes recherches, j'ai pu voir de nombreuses notes issues d'autres utilisateurs Apple qui laissent des informations sur leur compte en banque et informations et mots de passe associés dans le cloud”. 

Lire aussi : Une faille WiFi menace 6,2 milliards d'ordinateurs, smartphones, routeurs, PS4 et Xbox One

Apple refuse de donner trop de détails

The Hacker News rapporte qu'après avoir été prévenue, Apple a corrigé ce bug côté serveur en novembre 2018. Apple a ensuite reconnu le problème auprès de Melih Sevim, avant de lui annoncer être déjà au courant et avoir pris les mesures nécessaires pour le corriger avant que ce dernier ne révèle la faille. Et de fermer immédiatement le ticket d'incident. Ce faisant, Apple semble vouloir enterrer hâtivement une histoire aux conséquences potentiellement catastrophiques pour les utilisateurs.

Lire aussi : Apple confirme que les iPhone et les Mac sont touchés par les failles de sécurité Meltdown et Spectre

On ne sait pas, en effet, combien de temps ce bug est resté actif, ni combien d'utilisateurs iCloud ont pu être touchés, ni quelles données sensibles ont réellement pu être extraites. Apple n'est pas la seule firme à être ainsi victime de fuites de données en 2018. Une grave faille a ainsi précipité la décision de Google de fermer Google+. Twitter et Facebook ont eux aussi été victimes de failles dans l'année. On peut néanmoins leur reconnaître, contrairement à Apple, de communiquer sur la question avec davantage de transparence.