En ces temps de course au flicage volontaire, il fallait bien qu’un jour un passionné du buffer overflow découvre comment « planter » une Apple Watch (et par la même occasion d’autres équipements de la marque). L’information fait les grands titres du Guardian et rappelle les fork bomb et autres « phrases magiques » aboutissant au crash de certaines applications Microsoft, des séquences de touches provoquant des comportements inattendus de consoles de jeux (qui donc ignore à notre époque l’existence du code Konami ?), ou des suites d’ordres sans signification apparente aboutissant à un gel complet de l’équipement. On peut faire remonter l’histoire des commandes-suicide à l’époque de la succession d’ordres « AT » que Dennis Hayes lança pour perturber les modems « clones » de constructeurs refusant de payer sa licence d’exploitation.
Car l’attaque n’est pas plus complexe que ça : une simple chaîne utilisant un jeu de caractères tantôt arabes, tantôt graphiques, mal digérée par la gestion et la traduction en caractères Unicode. L’attaque Unicode, un grand classique dans l’empoisonnement des URL d’ailleurs. Du coup, la presse dans son ensemble s’émeut : on peut « planter » une Apple Watch ou un téléphone IOS avec un simple SMS comportant la chaîne démoniaque. L’exploit SMS, un autre vieux classique du FUD et de la fausse recherche sécurité que Sean, du Response Team F-Secure, résume en quelques mots : « That’s so 2008 »