doulCi, le hack qui déverrouille les iPhone et iPad volés

Image 1 : doulCi, le hack qui déverrouille les iPhone et iPad volésQui oublie le mot de passe de 6 iPhones ?

Avec iOS 7 Apple introduit une fonction très appréciée : le verrouillage d’activation via iCloud. Grâce à ce mode, tout iPhone ou iPad volé et bloqué à distance ne peut être réactivé sans le mot de passe iCloud de son possesseur. Malheureusement, ce verrou a fini par être cassé. Deux hackers @AquaXetine et @MerrukTechnolog ont trouvé un moyen d’activer un appareil iOS verrouillé et ont mis à disposition du public un service en ligne, baptisé doulCi (iCloud écrit à l’envers), qui remporte un vif succès si l’on croit leur page Facebook ou leurs flux twitter.

La procédure nécessite de connecter l’appareil à un PC (ou un Mac) hôte et de lancer iTunes. Cet hôte doit au préalable avoir été très légèrement modifié pour rediriger les requêtes vers le serveur officiel d’activation d’Apple sur le serveur pirate. Ainsi, les hackers peuvent intercepter les communications entre iTunes et le serveur d’Apple et provoquer la réactivation. Ils n’ont pas dévoilé plus de détails sur la faille qu’ils exploitent ; tout juste ont-ils indiqué qu’il ne s’agit pas d’un problème concernant OpenSSL.

Ces hackers naviguent d’ailleurs en eaux troubles. Ils disent avoir travaillé sur ce bug pendant cinq mois et avoir averti Apple en mars dernier avant de communiquer publiquement. Leur alerte serait restée lettre morte jusqu’à aujourd’hui, Apple ayant sans doute, comme une grande partie du web, découvert doulCi par la lecture d’un article du journal néerlandais De Telegraff. Mais les hackers, plutôt que de collaborer avec Apple pour combler la faille qu’ils exploitent ont décidé d’ignorer les demandes de la société.

Le service doulCi pourrait donc rester actif pendant encore longtemps, permettant certes à une minorité d’étourdis ayant authentiquement oublié leur mot de passe de récupérer l’accès à leurs données, mais surtout à une majorité d’escrocs d’écouler sur le marché de l’occasion des iPhone et iPad dérobés. Méfiez-vous donc des petites annonces. Il reste pour le moment deux moyens de débusquer la supercherie : une restauration complète via iTunes remet le verrouillage en place et souvent, l’accès au réseau GSM est inopérant.