Actualité iPhone / iPad
siri iphone 4

SIRI : son protocole de sécurité hacké

par ,
Source: Applidium

D'après 9to5mac, le protocole de sécurité de Siri aurait été craqué. C'est également ce que relaye le site français Applidium puisque c'est leur équipe qui aurait réussi l'exploit.

En effet, nous venons d'apprendre que des développeurs français auraient réussi a craquer le protocole de sécurité de Siri. C'est une information intéressante mais que cela peut-il signifier pour "monsieur tout le monde" ?  Disons, pour simplifier que cela ouvre un grand nombre de portes et, notamment celle de libérer Siri des serveurs d'Apple.

Les explications sont claires et nous proviennent du site Applidium. Il explique comment fonctionne Siri. Comme l'avait expliqué Apple lors de sa dernière keynote, Siri se connecte à leurs serveurs afin de pouvoir fonctionner. Mais comment se connecte-t-il ? Il passe par un serveur HTTPS dont le "S" veut dire qu'il est sécurisé. Ce protocole permet de vérifier le certificat de validité fourni par l'iPhone. Les équipes d'Apple ont fait tout le nécessaire pour sécuriser le protocole et les connexions puisqu'il est impossible de déceler l'échange en installant un serveur proxy malgré un grand flux d'informations échangé. Il est également impossible d'utiliser un "sniffer", non ce n'est pas un juron mais un terme désignant un renifleur de paquets. Grossièrement cela veut dire que le logiciel va pouvoir voir les échanges de données entre un terminal et un serveur. Mais ici, que nenni, les petits hommes d'Apple ont bien travaillé.

 

 

siri-iphone4s-visuel-apple-geekorner siri-iphone4s-visuel-apple-geekorner

Par contre, là où ils ont péché, c'est qu'ils n'ont pas pensé que l'utilisateur pouvait injecter un faux certificat dans l'iPhone même, et ainsi faire sauter la sécurité. Alors quel intérêt direz-vous ? Eh bien grâce à cela il sera possible de connecter son iPhone, où plutôt Siri, à d'autres serveurs que ceux d'Apple et d'utiliser des commandes non autorisées. Le site Applidium a d'ailleurs mis à disposition, sur son site, un exemple d'utilisation de serveur privé autre que ceux d'Apple, avec Siri. Ce test marche parfaitement et nous ne pouvons que saluer l'exploit de l'équipe française.

Les applications possibles ne sont pas encore clairement définies mais il est certain que de nouveaux horizons s'ouvrent à nous et qu'Apple ne tardera sûrement pas à modifier son protocole dans une future mise à jour suite à ces révélations.

 

Siri-Apple-TV Siri-Apple-TV

 

Commenter 8 commentaires

Gardenoir
L’intérêt de l'exploit n'est pas de pouvoir utiliser Siri sur un serveur tierce, le présent utilisé est déjà pertinent et tenu à jour, mais plutôt d'ouvrir cette technologie à d'autre appareils tels que les téléphones Androïd notamment mais aussi aux ordinateurs personnels, et autres. C'est à mon avis l'application la plus pertinente relatée dans la source de la news ...
Signaler Citer
Avatar de l’utilisateur
ghost94
Effectivement le portage sur d'autres appareils est une des applications, mais le hack de base permet de ne pas passer par les serveurs d'apple d'ou l'exemple en .zip fournit par le site.
Signaler Citer
simon545
Apple n'aura même pas besoin de changer son protocole d'authentification, il leur suffira de trouver le même certificat, se connectant à plusieurs reprises depuis plusieurs adresses IP, pour le blacklister, résultat, tout appareil utilisant ce certificat reviendra au stade actuel du port, i.e. pas de connectivité aux serveurs Apple...

Intéressant comme découverte, mais pour ce qui est de l'exploiter, et de la rendre dispo, j'en dirais pas autant...
Signaler Citer
Avatar de l’utilisateur
Jonyjack
simon545 a écrit:Apple n'aura même pas besoin de changer son protocole d'authentification, il leur suffira de trouver le même certificat, se connectant à plusieurs reprises depuis plusieurs adresses IP, pour le blacklister, résultat, tout appareil utilisant ce certificat reviendra au stade actuel du port, i.e. pas de connectivité aux serveurs Apple...

Intéressant comme découverte, mais pour ce qui est de l'exploiter, et de la rendre dispo, j'en dirais pas autant...

Bah justement l'appareil se connecte pas sur les serveurs d'Apple mais sur un serveur tiers, donc ils peuvent le blacklister ça changera rien.
Signaler Citer
kirua29
simon545 a écrit:Apple n'aura même pas besoin de changer son protocole d'authentification, il leur suffira de trouver le même certificat, se connectant à plusieurs reprises depuis plusieurs adresses IP, pour le blacklister, résultat, tout appareil utilisant ce certificat reviendra au stade actuel du port, i.e. pas de connectivité aux serveurs Apple...

Mais ça sert a rien. Puisqu'en effet cela permet d'aller sur un autre serveur.
Donc Apple aura besoin de changer le protocole. :)
Même si c'est déjà trop tard pour empêcher un éventuelle portage.

d'autres serveurs que ceux d'Apple et d'utiliser des commandes non autorisées.

Peut être des commandes qui pourrait permettre un JailBreak.

De toute façon, je ne pense pas qu'un portage de Siri sur d'autre Smartphone soit bien utile. Personne ne l'utilisera. :D (Bien sûr je n'ai pas de preuve, mais je pense que ça sera comme ça. C'est un gadget inutiles pour faire genre il y a des nouveauté, enfin, c'est mon point de vue)
Signaler Citer
simon545
kirua29 a écrit:
simon545 a écrit:Apple n'aura même pas besoin de changer son protocole d'authentification, il leur suffira de trouver le même certificat, se connectant à plusieurs reprises depuis plusieurs adresses IP, pour le blacklister, résultat, tout appareil utilisant ce certificat reviendra au stade actuel du port, i.e. pas de connectivité aux serveurs Apple...

Mais ça sert a rien. Puisqu'en effet cela permet d'aller sur un autre serveur.
Donc Apple aura besoin de changer le protocole. :)
Même si c'est déjà trop tard pour empêcher un éventuelle portage.



C'est moi ou personne ne se rend compte de la complexité de Siri?
Signaler Citer