Une faille a été découverte sur l’iPhone 3G, au niveau de la sécurisation du terminal par mot de passe. Une simple manipulation permet d’accéder à plusieurs fonctionnalités. Vérifiée sur les versions 2.0.2, cette vulnérabilité pourrait également toucher les moutures 2.0 et 2.0.1.

En complément du code PIN, l’utilisateur peut en effet verrouiller son terminal par un mot de passe à 4 chiffres – dans l’onglet général du menu de réglages. L’iPhone est alors bloqué et n’est censé ne proposer que les appels d’urgence via un bouton spécifique. Mais en numérotant normalement sur le clavier, il est possible d’appeler n’importe quel numéro. Pire, un clic sur la commande « appels d’urgence » puis un double clic sur le bouton menu amène à la liste des contacts favoris.

Une fois sur cet écran, selon les données personnelles renseignées, il est possible d’accéder à la plupart des fonctions du terminal. Un clic sur l’option SMS permet de visualiser l’ensemble des contacts. Si l’un d’eux dispose d’une adresse mail, la fonction idoine s’ouvre. De même, une adresse URL ouvre la porte à Safari, le navigateur de l’iPhone, et permet de surfer sur-le-champ.

Dans l’attente d’une correction d’Apple à la prochaine mise à jour, deux solutions permettent de contouner cette faille. La première, guère pratique, est d’éviter de remplir les champs « mail » et « adresse de site web » associés aux contacts favoris. Les personnes malintentionnées pourront toutefois accéder à la fonction téléphonie. L’autre solution, plus directe et plus simple, consiste à affecter une autre fonction au double clic sur le bouton menu.