Passer au contenu

Siri déjà hacké ?

L’assistant personnel d’Apple qui fait tant parler de lui ces dernières semaines (aussi bien pour ses qualités que pour ses défauts, inutile de se mentir) aurait-il…

L’assistant personnel d’Apple qui fait tant parler de lui ces dernières semaines (aussi bien pour ses qualités que pour ses défauts, inutile de se mentir) aurait-il été hacké ? On pourrait sans doute répondre par l’affirmative, à en croire les développeurs d’Applidium, auto-proclamés comme ayant été les premiers à avoir su déjouer les verrous mis par Apple sur son Siri.

En fait, il semble que Siri utilise du TCP pour s’adresser à un serveur à 17.174.4.4, en usant du port 443. La fine équipe d’Applidium s’est dans le même temps rendue compte qu’Apple renvoyait la balle à un serveur nommé guzzoni.apple.com. Ni une, ni deux, ils ont monté un faux serveur guzzoni.apple.com, et ont fait croire à Siri qu’il s’adressait à son serveur d’origine. L’I.A a ses limites.

On attend de voir comment cette situation saura évoluer. Et si Siri sera porté sous Android. Evidemment…

(crédit capture d’écran : Siri et moi)

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

Source : Source

37 commentaires
  1. Avant un portage sous android hautement improbable (environnement extremmement différent Obj-C -> Java), un portage sur les anciens iDevice serait déjà pas mal.

  2. @Aphelion
    Rien à redire. Quand j’ai lu l’article de Ben et que j’ai vu “/…/ TCP pour s’adresser à un serveur à 17.174.4.4, en usant du port 443”, j’ai bien ri.
    On va la faire courte pour ceux qui ne veulent pas lire votre article; Siri utilise du HTTPS, et vérifie juste que le certificat serveur est certifié par l’une des autorités de certification présentes dans l’iPhone. L’erreur d’Apple est de ne pas vérifier que ce certificat est certifié par Apple.
    Maintenant, il faut aussi être capable d’envoyer un identifiant d’iPhone qui a le droit d’utiliser les serveurs Siri, donc avoir un iPhone4S…

  3. “il semble que Siri utilise du TCP pour s’adresser à un serveur à 17.174.4.4, en usant du port 443”

    lol :love:

    Toi t’es pas journaliste, on le sait déjà, mais t’es pas non plus ingénieur réseau 🙂 Quand on ne comprend pas les termes techniques d’un article, on évite de blablater dessus stp…

  4. “Et si Siri sera porté sous Android. Evidemment…”
    Qui aura besoin de Siri sous Android, sachant qu’il y a Vlingo, tout aussi intéressant et moins kikoolol?

    Ceci dit, c’est une bonne nouvelle pour les possesseurs d’iPhone/iPad qui ne sont pas de dernière génération 🙂

  5. Faites que Ben ne soit que pigiste et encore s’il était journaliste il aurait sa place dans n’importe quel média “pro” sic !
    Maintenant on prend une info sur le net, on l’embellie sans oublier d’y ajouter une faute de grammaire ou d’ortaugraffe et c’est parti……
    c’est beau la vie, un bureau, un bigmac et un moka de temps à autres bien au chaud !

    PS sur bfmtv on dit que c’est apple qui a inventé internet !

  6. “du TCP pour s’adresser à un serveur à 17.174.4.4, en usant du port 443”

    Ben, tu vois la corde ? Fais vite ! c’est nécessaire là…

    Non seulement tu fais des fautes de français dans tes articles, et en plus t’es incompétent dans ton domaine.

    C’est grave !

    As-tu une carte de journaliste ???

    Peux-tu répondre STP…

    Au fait, je t’écris depuis un ordinateur computer numérique sans signal analogique, new génération, com’on dance !

  7. Il n’y a pas forcément besoin d’une carte de journaliste pour faire du journalisme. D’ailleurs, pas mal de journalistes n’ont pas cette fameuse carte.

    Et si on devait virer tous les journalistes incompétents (avec ou sans carte de presse) des rédactions, il ne resterait plus grand monde.

  8. “Heu…s’il te plait Ben. […] Cela t’évitera peut-être de dire des âneries…”

    Ai mais ça va pas de critiquer de façon ausi abrupte notre cher Ben, fait attention pigeon va venir te faire la morale 😉

  9. Quelqu’un peut m’expliquer la bourde de Ben ? Parceque bon écrire que “Siri utilise du TCP pour s’adresser à un serveur à 17.174.4.4, en usant du port 443”, je ne vois pas bien l’outrage…
    Surtout quand la source (http://applidium.com/news/comment_dechiffrer_siri/) écrit “…. Siri communiquait en TCP, sur le port 443, avec un serveur à l’adrese (sic) 17.174.4.4.”

    Bref du TCP sur le port 443 c’est à 99% du HTTPS, ok, mais pas d’erreur pour autant.

    Non l’erreur c’est plutôt dans la suite “s’est dans le même temps rendue compte qu’Apple renvoyait la balle à un serveur nommé guzzoni.apple.com” ; ça c’est faux… le serveur 17.174.4.4 EST guzzoni.apple.com.

    Quand à la suite de l’article, il manque la fin : monter un faux serveur ça a permis de récupérer facilement les requêtes HTTP envoyées par SIRI (difficile de se débarasser du “S” de HTTPS sinon…), et ce sont ces requêtes qui on permis de comprendre le fonctionnement de l’application et du coup d’envisager un “clone”.

  10. @zoroz : “Il n’y a pas forcément besoin d’une carte de journaliste pour faire du journalisme. D’ailleurs, pas mal de journalistes n’ont pas cette fameuse carte.”

    As-tu vu un truc dans le genre dans mon post ? Non !

    Je voulais juste bien me marrer si ce dernier, m’affirmait avoir sa carte de presse !

  11. Ca fait pas longtemps que je lis les news de ce site. Il nous apprend plein de choses et nous permet de suivre une actualité sérieuse de la culture geek.

    Grâce à toi, Ben, on apprend une chose rapidement en lisant tes articles. C’est de les éviter!

    Franchement, gardes tes illusions journalistiques pour ton journal intime et arrête de polluer la toile.

  12. Moi ce que je voudrais savoir surtout c’est pourquoi dés que Ben écrit un article, tout le monde s’acharne dessus ? (Peut être que Siri saurait me répondre )

  13. Avant de critiquer Ben, et de rigoler sur ses compétences techniques, vous feriez mieux de jeter un oeil à Wikipédia. Ce qu’il dit est correct puisque TCP est un protocol de communication et 443 le port utiliser lors d’une communication sécurisé de type HTTP.

    cf. http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers

    Avant de faire les malins, vérifiez que vous aussi vous ne racontez pas n’importe quoi.

  14. @joky : A mon avis certaines personnes critiquaient la forme plutôt que le fond : “Siri utilise du TCP pour s’adresser a un serveur à 17.174.4.4, en usant du port 443”

    Le “a un serveur a 17.174.4.4” ça pique aux yeux, et ça aurait été mieux de dire “en utilisant le port 443”. M’enfin bon je ne suis pas prof de français, et encore moins journaliste :p

  15. @Antinoüs
    “L’erreur d’Apple est de ne pas vérifier que ce certificat est certifié par Apple.”
    Ils ont monté leur propre CA et l’ont ajouté dans la liste des trusted CA de l’liphone. Aucune erreur de la part d’apple là dedans.

  16. Si l’exploit est publié ( et il le sera ) il faudra connaitre quelqu’un qui a un 4S … Ou scruter le NET pour avoir un identifiant apple certifié 4S. * j’ai dégrossis pour les Non-geeks *

  17. J’allais regarder un épisode de The walking dead, mais là j’ai trouve beaucoup mieux ! 😛
    Des gens acharnes, de l’intrigue, du suspens, des rebondissement, des “zombies” qui ne lâchent rien, des gentils pas si gentils, des méchants qui sont des gentils…

    The walking Commentaires dead :love: Ben survivra t’il ? A t’il fait le bon choix ? Et d’ou viennent ces hordes ? Qui sont ils ?
    En plus ça s’ameliore avec les saison 8)

    Bon après c’est vrai que l’info globalement,en faisant une petite moyenne pondéré par les arguments, grâce a vous tous elle passe !

  18. Moi tous ces billets sous la forme: + ‘?’ m’enervent.

    Comment faire de l’information, sans en faire vraiment, comment dire sans rien dire.

    Jdis pas, tu as des billets interessants (des fois) mais le raccollage pour ramener plus de clicks sur votre site, je trouve ca bidon

  19. Moi tous ces billets sous la forme: ‘Sujet raccoleur’ + ‘?’ m’enervent.

    Comment faire de l’information, sans en faire vraiment, comment dire sans rien dire.

    Jdis pas, tu as des billets interessants (des fois) mais le raccollage pour ramener plus de clicks sur votre site, je trouve ca bidon

    0

  20. Bravo joky, j’ai également lu l’article sur http://applidium.com/news/comment_dechiffrer_siri/. Ben a effectivement fait une petite erreur concernant “Apple renvoyait la balle à un serveur nommé guzzoni.apple.com”. Pas de quoi casser une patte à un canard.
    Finalement c’est ceux qui en savent le moins qui jouent les donneurs de leçons et racontent le plus d’âneries. Si vous voulez la place de Ben envoyez vos CV au JDG au lieu de casser les couilles à tout le monde.

  21. @-kikooxd- “Ils ont monté leur propre CA et l’ont ajouté dans la liste des trusted CA de l’liphone. Aucune erreur de la part d’apple là dedans.”

    Pour moi, si. Leur erreur est que le client Siri ne vérifie pas que le certificat du serveur est émis par une AC d’Apple. Siri ne fait que vérifier que le certificat du serveur est trusted.
    La preuve que ce n’est pas secure: on peut monter un serveur Siri bidon, qui intercepte, analyse, et modifie au besoin les échanges. Entre malveillance ou simple curiosité, choisissez votre camp (d’autant plus que j’ai crû comprendre que l’iPhone contient encore certaines AC qui ont été hackées ?).

  22. @Antinoüs

    Je ne vois pas comment il aurait été techniquement possible de vérifier que c’est bien une AC apple.
    Si tu as la main sur le device, l’AC et le réseau (ce qui est le cas ici), tu peux faire croire au device tout ce que tu veux. Il suffit de remplir le certificat comme tu le désire et de configurer l’AC comme celle d’apple (DN, url de CRL, … identiques)

    Enfin je crois, je ne suis pas expert en déploiement d’AC / PKI ^^

  23. @ Aphelion.
    Non, on parle bien de journaliste. De toutes façon, pour obtenir une carte de presse, il faut DEJA exercer la profession de journaliste depuis au minimum 3 mois.
    Les bloggers c’est un truc très récent et, même si ça ressemble à du journalisme, ça n’en est pas forcément. Mais bon, ça fait “in” de se déclarer “blogger” au point que certains journaleux s’y sont mis aussi.

  24. @Tous le monde :

    J’ai lu toutes les critiques et je les comprend toutes, mais en même temps j’ai envie de vous dire que le JDG n’a pas pour vocation ultime que d’être un blog d’information sur les technologies. De ce point de vue là ils font ce qu’ils ont à faire et ils le font très bien. Personne au JDG n’a eu la prétention de se déclarer ouvertement “professionnel” / “informaticien” / “ingénieur” ou autre spécialiste du domaine de l’informatique. Ce sont juste des passionnés, qui dans la mesure de leur connaissance, font l’effort de collecter de l’information un peu partout et de nous la rapporter sans que nous même ayons à le faire. De ce point de vue là, même si parfois certaines news sentent plutôt le poisson mort tellement elles sont OLD !!!, ou que des fois j’ai envie de hurler OSEF !!!!!!!!!, mais franchement personnellement ça agrémente ma journée au travail avec quelques petites news intéressantes qui tombent par-ci par-là. En gros c’est un peu le “20 minutes” des nouvelles technologies quoi …

    Dons pour ceux qui recherchent des articles écrits par de vrais professionnels du domaine et de vrais journalistes, je ne vois pas pourquoi vous continuez de venir chercher vos news sur le JDG sérieux 😕 Mais comme je le disais plus haut, je comprend par contre Ben parfaitement les critiques qui sont émises par les lecteurs,surtout sur les points suivants :
    – l’absence de source parfois
    – le caractère trop peu documenté de certaines news
    – le sentiment d’une maîtrise approximative du sujet
    – et surtout les fautes d’orthographe !!!!!! On a des correcteurs à peu près partout ajourd’hui (Word, Firefox, iPhone, …), donc stp ça demande un effort surhumain de se relire avant de publier quand même ??!

  25. Loool —> deux fautes à corriger dans mon texte bien sûr 😉

    “Tout le monde” et non “Tous le monde”

    “Donc” et non “Dons”

    Et bien sûr je compte sur vous pour trouver le reste 8)

Les commentaires sont fermés.

Mode