Apple a récemment corrigé un problème inquiétant, à savoir que les personnes utilisant des appareils macOS et iOS pouvaient voir leurs conversations avec Siri surveillées et enregistrées par un tiers malveillant dans certaines circonstances.
Il s'agit d'une faille de sécurité grave qui affecte les propriétaires de Mac et d'iPhone ou d'iPad, et qui a été découverte par le développeur d'applications Guilherme Rambo, comme le rapporte Apple Insider. Rambo a découvert que toute application ayant un accès Bluetooth pouvait exploiter la faille de sécurité et écouter les échanges Siri de l'utilisateur lorsqu'il utilise des AirPods ou un casque Beats (avec des connexions Bluetooth).
Rambo explique : "Découvrir que je pouvais obtenir de l'audio à partir des AirPods sans demander la permission d'utiliser le microphone sur macOS a été la première étape."
Le développeur a ensuite effectué les mêmes manipulations sur l'iPhone et l'iPad, recevant l'audio des conversations de l'utilisateur (que le développeur pensait d'abord être cryptées, mais qui ne l'étaient pas).
Il est important de noter que cette faille peut être exploitée par n'importe quel logiciel disposant d'une autorisation Bluetooth, sans qu'il soit nécessaire de demander l'accès au micro, et aucun indice n'est donné à l'utilisateur suggérant que quelque chose d'anormal est en train de se produire.
Rambo a informé Apple du problème le 26 août, après quoi la société a entamé un processus d'enquête, puis a mis en œuvre un correctif (pour la vulnérabilité CVE-2022-32946) dans la version 16.1 d'iOS (et la dernière version de macOS).
Analyse : un bug déjà résolu
C'est une bonne nouvelle que ce problème ait été corrigé avant qu'il ne devienne de notoriété publique, naturellement, mais nous n'avons aucune idée si la faille a pu être exploitée par un pirate quelque part à ce jour. Espérons que non, et au moins quelqu'un du bon côté de la barrière de sécurité a attiré l'attention d'Apple pour que le correctif soit déployé.
Il s'agit évidemment d'une bonne raison de se procurer la dernière mise à jour d'iOS et de macOS, et la résolution de bogues de ce type est précisément la raison pour laquelle vous devez vous assurer que les mises à jour sont appliquées en temps voulu.
Il n'est pas forcément utile de se jeter sur une mise à jour donnée dans les heures qui suivent sa sortie - les adopteurs précoces risquant de tomber sur des problèmes inattendus lors de leurs tests - mais vous ne devriez pas attendre trop longtemps avant d'appliquer les mises à jour de sécurité en particulier.
M. Rambo a reçu 7 000 dollars (US) pour avoir signalé le bogue à Apple, et comme on peut le voir sur Twitter, certains pensent que c'est un peu juste - observant que c'est la raison pour laquelle les gens vont parfois ailleurs avec ce genre de découverte, plutôt que de s'adresser directement à la société concernée. Une réflexion inquiétante...
