Un message de trois caractères peut bloquer certains iPhone
Une faille dans le système d'exploitation de l'iPhone peut bloquer certains modèles à partir d'un simple message.
Une faille de l’application Message d’iOS 10 permet de bloquer n’importe quel iPhone ou iPad équipé de la dernière version du système d’exploitation mobile d’Apple, rapporte le quotidien britannique The Guardian sur son site internet. La vulnérabilité peut survenir de deux façons. Soit par l’intermédiaire d’un message texte composé d’une suite de caractères bien précise, un emoji de drapeau blanc, un zéro et un arc-en-ciel. Soit par le biais d’une fiche de contact envoyée par message contenant une suite de caractères encore plus conséquente.
Selon les constatations du Guardian, les deux messages vont bloquer iPhone et iPad pendant quelques secondes, forçant l’utilisateur à redémarrer l’appareil pour en reprendre le contrôle dans certains cas. La chaîne de message texte affecte tous les appareils évoluant sous iOS 10.1 et les versions antérieures. La fiche de contact bloque toutes les versions d’iOS 10, y compris la dernière, iOS 10.2.
Un problème dans la génération de l'emoji drapeau arc-en-ciel
La faille aurait été rapportée pour la première fois par le YouTubeur EverythingApplePro, connu pour avoir mis au jour plusieurs vulnérabilités de l’iPhone par le passé. Selon le développeur français Vincent Desmurs, qui affirme également avoir découvert le bug, le problème proviendrait de la façon dont iOS génère l’emoji drapeau arc-en-ciel, qui n’est pas un emoji officiel. Apple le crée en exécutant un code combinant le drapeau blanc et l’emoji arc-en-ciel. Ce code est un caractère invisible appelé VS16. Dans la suite de caractères mise en cause, le VS16 ne parviendrait pas à combiner les deux emoji à cause de la présence du zéro.
Les systèmes d’exploitation pour mobiles sont de plus en plus élaborés. Cela n’empêche pas les pirates de découvrir régulièrement des failles dans les logiciels. Au début de l'année, un informaticien était parvenu à faire planter le navigateur Safari de nombreux terminaux de la marque à la pomme par l'intermédiaire d'un script Java nommé Crash Safari. Quelques mois plus tôt, un SMS comprenant des caractères spéciaux en arabe et en latin avait laissé iOS sans réponse. Apple avait réglé le problème à chaque fois en déployant rapidement des mises à jour.
Comment se protéger du message
Pour prévenir le problème, il est recommandé de mettre à jour son iPhone avec la dernière version d’iOS. Dans le cas du second bug, l'application Message plantera tant que la fiche de contact sera le message le plus récent car elle le rechargera automatiquement à chaque ouverture. Il faut alors demander à un ami de vous envoyer un message pour pouvoir ensuite effacer le message contenant la fiche de contact sans l'ouvrir. Et si un contact continue de vous envoyer le message, il peut être utile de le bloquer en cliquant sur "informations" en haut à droite d'un message puis de sélectionner "bloquer cet appareil".
