Empêcher l’accès aux Contacts et Photos sur iOS 9

Si votre iPhone tourne sous iOS 9, une faille permettait d’accéder aux contacts et photos depuis l’écran verrouillé en exploitant Siri et l’application Horloge. Ce guide explique la faille, montre les étapes à reproduire, et donne des mesures pratiques pour protéger vos données.

Attention : les informations ci‑dessous expliquent une faille découverte sur iOS 9. L’objectif est informatif et vise à vous aider à protéger vos données. Rien dans cet article ne permet de déverrouiller complètement un iPhone ni de lire des messages protégés.

Résumé du problème

Un test publié par Jeff Benjamin (idownloadblog) a montré qu’il était possible, sur iOS 9, d’atteindre l’interface de création/modification de contact depuis l’écran verrouillé. En suivant une séquence précise, Siri est invoqué puis mène vers l’app Horloge ; l’interface de partage permet ensuite d’ouvrir Messages et d’accéder à l’écran d’ajout de photo pour un contact, révélant ainsi les albums et photos stockés sur l’appareil, sans déverrouillage complet.

Ce que la faille permet :

• Voir la liste des contacts et parcourir les photos de l’app Photos (visualisation uniquement).
• Ne pas lire les messages, ne pas regarder des vidéos protégées ni exfiltrer directement des fichiers depuis l’appareil via cette méthode.

Ce que la faille ne permet pas :

• Déverrouiller l’iPhone, lire les SMS ou e‑mails, ni accéder aux autres applications protégées.

Démonstration — comment la faille fonctionne

Suivez ces étapes à titre d’explication technique. Ne les utilisez pas à des fins malveillantes.

1. Entrez quatre codes d’accès incorrects différents (la cinquième tentative incorrecte verrouille temporairement iOS).
2. Sur la cinquième tentative, tapez trois chiffres puis appuyez et maintenez le bouton principal (Home) pour invoquer Siri, puis entrez immédiatement le 4ᵉ chiffre.
3. L’iPhone se verrouille temporairement pendant une minute, mais Siri a déjà été invoqué.
4. Demandez à Siri l’heure.
5. Touchez l’icône Horloge pour ouvrir l’application Horloge.
6. Touchez l’icône + en haut à droite pour ajouter une nouvelle alarme.
7. Dans le champ Choisir une ville (Choose a City), tapez quelque chose d’invalide.
8. Touchez le champ pour faire apparaître le menu copier/coller, puis choisissez Sélectionner tout → Partager…
9. Dans la feuille de partage, touchez l’icône Messages.
10. Dans le champ À, tapez quelque chose d’invalide et appuyez sur Retour.
11. Tapez deux fois sur le nom incorrect affiché dans le champ À pour ouvrir la page d’info du contact.
12. Touchez Créer un nouveau contact.
13. Touchez Ajouter une photo.
14. Touchez Choisir une photo.
15. L’application Photos s’ouvre et affiche tous les albums et images présents sur l’appareil. Vous pouvez maintenant parcourir et visualiser chaque photo.

Si, à l’étape 12, vous choisissez Ajouter à un contact existant, vous pouvez consulter les informations de contacts existants au lieu d’en créer un nouveau.

Regardez la vidéo d’origine (référencée par la source) pour voir la séquence en moins d’une minute.

Pourquoi cela arrive

Les systèmes d’exploitation mobiles combinent plusieurs chemins d’accès et autorisations. Siri et les feuilles de partage (Share Sheets) sont des points d’entrée puissants qui, dans certains enchaînements, peuvent exposer des UI partielles sans contrôle complet du passcode. Les mécanismes d’autorisation entre les composants n’étaient pas assez stricts dans cette version d’iOS.

Important : tous les systèmes ont des failles. Les mises à jour régulières corrigent ces chemins d’accès imprévus.

Mesures immédiates pour protéger votre iPhone

1. Désactivez l’accès à Siri depuis l’écran verrouillé : Réglages → Touch ID et code, puis désactivez Siri sous Autoriser l’accès lorsqu’il est verrouillé.
2. Installez la dernière mise à jour iOS disponible. Les correctifs de sécurité peuvent empêcher cette chaîne d’actions.
3. Utilisez un code d’accès long (6 chiffres minimum) ou un mot de passe alphanumérique.
4. Activez l’effacement automatique après 10 tentatives infructueuses si vous souhaitez une protection plus stricte (Réglages → Touch ID et code).

Alternatives et bonnes pratiques

• Désactivez complètement Siri si vous n’en avez pas besoin.
• Limitez l’utilisation des feuilles de partage pour les apps sensibles.
• Activez l’authentification à deux facteurs pour les comptes liés à l’appareil lorsque possible.
• Surveillez et appliquez immédiatement les mises à jour système proposées par Apple.

Contre‑exemples — quand la faille ne fonctionne pas

• Si Siri est désactivé sur l’écran verrouillé, la chaîne échoue.
• Si Apple corrige le comportement de la feuille de partage/Siri via une mise à jour, la séquence devient inopérante.
• Certains appareils avec paramètres de sécurité supplémentaires ou profils MDM (gestion des appareils mobiles) peuvent bloquer ces actions.

Modèle mental simple

Considérez chaque service (Siri, Horloge, Feuille de partage) comme une porte. Si plusieurs portes autorisent des passages partiels sans contrôle centralisé, un enchaînement peut mener à des zones protégées mais partiellement accessibles. La réduction du nombre de portes accessibles depuis l’écran verrouillé réduit le risque.

Checklist par rôle

• Utilisateur individuel : désactiver Siri sur écran verrouillé, mettre à jour iOS, utiliser un code long.
• Administrateur d’entreprise (MDM) : appliquer des politiques qui restreignent l’accès aux composants système et forcent les mises à jour.
• Responsable sécurité : documenter l’incident, vérifier les correctifs Apple et déployer les mises à jour sur l’ensemble des appareils.

Mini‑méthodologie pour tester votre appareil (sécurisé, non malveillant)

1. Sauvegardez vos données.
2. Vérifiez la version iOS installée.
3. Testez uniquement les étapes publiées par une source fiable sans essayer d’extraire des données.
4. Si vous reproduisez le comportement, appliquez immédiatement les contre‑mesures et signalez à Apple via les canaux officiels.

Sécurisation renforcée

• Activez l’effacement des données après 10 tentatives (à n’utiliser que si vous comprenez le risque lié aux pertes de données).
• Préférez un code d’accès alphanumérique long.
• Pour les appareils professionnels, utilisez MDM pour verrouiller l’accès aux fonctions de partage et à Siri.

Notes sur la vie privée

Aucune donnée personnelle n’est divulguée automatiquement par cette faille : elle permet une visualisation locale des photos et contacts. Néanmoins, toute exposition visuelle non autorisée constitue un risque de confidentialité. Pour les utilisateurs en Europe, conservez un registre des incidents si des données personnelles d’autres personnes ont été consultées sans consentement, afin de respecter les obligations internes de confidentialité.

Glossaire (une ligne)

Siri : assistant vocal d’Apple capable d’exécuter des actions système par commande vocale.

Sources

• Rapport et vidéo initiale : idownloadblog (Jeff Benjamin).

Récapitulatif

• iOS 9 présentait une séquence qui pouvait exposer contacts et photos depuis l’écran verrouillé.
• La réponse immédiate : désactiver Siri sur l’écran verrouillé et appliquer les mises à jour Apple.
• Pour une protection durable : renforcer le code d’accès, utiliser MDM en contextes professionnels, et suivre les correctifs publiés.

Important : appliquez toujours les mises à jour officielles et signalez tout comportement suspect aux équipes de sécurité d’Apple.