Apple va corriger une importante faille dans HomeKit qui permet de contrôler les accessoires connectés à distance

Une importante faille de sécurité a été détectée au sein d’iOS 11.2, elle concerne HomeKit. Une personne mal intentionnée peut prendre le contrôle à distance des objets connectés d’une maison sans que l’utilisateur ne soit au courant. Apple a été averti de la faille, découverte par 9to5Mac, et a commencé à faire le nécessaire. Il s’agit d’une faille zero-day.

Le site ne détaille pas la faille parce qu’elle pourrait être exploitée par des personnes mal intentionnées dans le monde et ce n’est pas le but recherché. Il ajoute toutefois qu’elle est compliquée à reproduire et qu’Apple a opéré à une modification à distance pour empêcher un accès non autorisé aux objets HomeKit, comme les verrous connectés, les lampes qu’on contrôle depuis son iPhone, les stores et plus encore. Cette modification désactive toutefois la fonctionnalité qui permet de partager un accès à un objet connecté avec d’autres utilisateurs.

Apple va publier une mise à jour d’iOS 11.2 (très probablement iOS 11.2.1) en début de semaine prochaine pour réellement bloquer la faille et restaurer les fonctionnalités désactivées. La faille n’existe pas au niveau des objets connectés, mais bien au niveau du framework de HomeKit dans iOS.

Détail intéressant, Apple a été averti de quelques failles plus ou moins similaires dans HomeKit à la fin octobre et certaines ont été corrigées avec iOS 11.2. Mais certaines existent toujours, dont celle dévoilée aujourd’hui. En tout cas, on notera qu’Apple enchaîne les gaffes ces derniers temps, entre la faille du jour, la faille root sur Mac, le bug qui a désactivé la fonction Partage de fichiers et le bug du 2 décembre qui fait crasher les iPhone.