Découverte d’une faille majeure sur l’application FaceTime d’Apple

Une faille majeure a été découverte sur le service de conversation audio et vidéo d’Apple pour iPhone. Elle permet aux appelants d’accéder au microphone de la personne appelée, sans que cette dernière ne décroche. Si l’appelé appuie sur le bouton d’alimentation ou de volume de son iPhone, l’appelant peut alors aussi accéder à la caméra vidéo frontale du téléphone.

Cette vulnérabilité concerne la fonctionnalité d’appel de groupe récemment implémentée par Apple. Son exploitation est très simple : il suffit de lancer un appel vidéo FaceTime avec une personne appartenant à vos contacts et d’ajouter son propre numéro comme nouveau participant à la conversation.

Une très grande attention doit donc être apportée aux conditions d’emploi de FaceTime, en particulier pour les actes de télémédecine. Les risques résiduels doivent être réévalués en fonction des implémentations et de leur exposition à cette vulnérabilité majeure.

Informations
+

Risques

  • Partage audio et video non désirée.

Criticité

  • Score CVSS : N/A

Existence d’un code d’exploitation de la vulnérabilité

  • Une vidéo montrant la manipulation à réaliser a largement été diffusée sur le web (en lien).

Composants & versions vulnérables

  • Facetime, toutes versions à partir de la version 12.1 d'iOS et avant la version 12.1.4.

CVE

  • CVE-2019-6223

Recommandations
+

Mise en place de correctif de sécurité

  • La vulnérabilité a été corrigée dans la version 12.1.4 d'iOS publiée le 7 février 2019.

Solution

  • Afin de protéger les utilisateurs n'ayant pas encore procédé à la mise à jour vers la version 12.1.4, Apple a désactivé la fonctionnalité d’appel de groupe de ses serveurs pour les clients utilisant une version vulnérable.