La protection contre le vol d'iOS 17 ne fonctionne pas dans les "lieux importants"

La semaine dernière, Apple a publié iOS 17.3 dont la plus grande nouveauté était une fonction de sécurité appelée "Protection en cas de vol de l'appareil", qui vise à protéger vos données au cas où un voleur, ayant repéré votre mot de passe, se serait emparé de votre iPhone. Avec cette option, il faut tout de même s'authentifier avec Face ID ou Touch ID, ce qui ajoute une barrière supplémentaire. Cependant, une faille a déjà été découverte...

Une fonctionnalité pour répondre à un mal

La fonction, appelée en anglais par Apple "Stolen Device Protection", a été introduite quelques mois après une enquête menée par Joanna Stern, du Wall Street Journal, sur l'augmentation des vols d'iPhone dans les restaurants et les bars américains. Certains malfrats sont devenus millionnaires en observant leurs victimes taper leur code d'accès, puis en volant l'appareil et en siphonnant les comptes bancaires et autres applications de finances. En effet, une fois l'appareil volé et ouvert via le code d'accès, les voleurs n'avaient plus qu'à changer le code, désactiver Localiser mon iPhone et s'en servir pour payer et faire des virements. Pis, à la fin ils revendaient les téléphones pour un surplus de revenus.

Apple a vite réagi en introduisant la protection contre le vol de l'appareil. Une fois activée, elle exige l'authentification Face ID ou Touch ID (sans code de secours) avant que les utilisateurs puissent modifier des paramètres de sécurité importants tels que les mots de passe Apple ID ou les codes de l'appareil. Elle impose également un délai de sécurité d'une heure avant que les utilisateurs puissent modifier ces paramètres de sécurité.

La première faille dans la protection contre le vol

Toutefois, une faille importante a déjà été trouvée. En effet, comme l'a découvert le YouTubeur ThioJoe, si l'utilisateur a laissé activée l'option "Lieux importants" et qu'il se trouve actuellement dans un lieu familier, il n'aura pas de protection supplémentaire.

Apple indique ceci dans un document d'assistance relatif à la protection des appareils volés :

Lorsque votre iPhone se trouve dans un lieu familier, ces étapes supplémentaires ne sont pas nécessaires et vous pouvez utiliser le code d'accès de votre appareil comme d'habitude. Les lieux familiers comprennent généralement votre domicile, votre lieu de travail et certains autres lieux où vous utilisez régulièrement votre iPhone.

Apple considère qu'un lieu est important en fonction de la fréquence et du moment où l'utilisateur s'y rend, comme la maison ou le bureau. Pour information, ces données sont utilisées pour les suggestions Siri, remplir automatiquement une partie d'une entrée au calendrier, pour déclencher un itinéraire sur Apple Plans ou encore les souvenirs dans l'application Photos, mais comme elles sont également utilisées pour la protection contre les appareils volés. Et cela devient problématique pour ceux qui fréquentent un bar ou un restaurant de manière régulière.

ThioJoe a remonté l'information dans un message sur X (Twitter) :

Par défaut, les protections sont annulées lorsque vous vous trouvez dans un endroit familier. Le problème, c'est que vous n'avez AUCUN CONTRÔLE sur ce qui vous est familier. Le dernier en date est même un endroit que j'ai visité quelques heures seulement, une seule fois, le week-end dernier...

Comme le souligne le tweet, quelque peu moqueur, il est anormal qu'on ne puisse pas afficher et de modifier ses lieux familiers, et qu'on ne puisse pas les exclure de la protection contre le vol.

C'est ainsi que notre ami a pu contourner la fonctionnalité. Dans ce genre de cas, la protection contre le vol peut être désactivée sans qu'il soit nécessaire de recourir à l'authentification biométrique.

ThioJoe a pu désactiver la fonction dans l'un de ses lieux familiers (chez lui) sans Face ID.

Lors de mes tests, j'ai pu désactiver la protection contre le vol d'appareils à partir d'un café où je travaille presque tous les jours en échouant à l'authentification Face ID et en utilisant le code d'accès comme solution de repli.

Comment désactiver les lieux importants ?

Heureusement, vous pouvez désactiver les lieux importants en allant dans Réglages > Confidentialité et sécurité > Services de localisation > Services système > Lieux importants. Une fois cette option désactivée, Face ID ou Touch ID sera alors requis pour désactiver la protection contre le vol d'appareil, peu importe où l'iPhone se trouve.

Rappelons enfin qu'avec iOS 17.4, actuellement en bêta, Apple a ajouté la possibilité de toujours exiger un délai de sécurité lors de la modification des paramètres de sécurité. Cette option, désactivée par défaut, permet d'avoir une heure de temporisation quand l'utilisateur souhaite modifier son mot de passe Apple ID et d'autres paramètres de sécurité.