La faille du centre développeurs n’aurait pas été exploitée

Nicolas Furno |
TechCrunch a eu l’occasion de s’exprimer avec Balic, celui qui serait responsable de la fermeture du centre développeurs d’Apple depuis jeudi (lire : Le site développeurs d’Apple victime d’une intrusion revendiquée par son auteur). Comme il l’avait déjà fait à plusieurs reprises, il réfute le rôle de pirate qu’on a pu lui attribuer depuis les débuts de l’affaire et il répète à nouveau n’avoir pas exploité la faille qu’il avait découverte.

Le site a obtenu quelques informations. Ibrahim Balic aurait commencé non pas directement avec le centre dédié aux développeurs, mais avec iAd Workbench, un outil récent destiné aux publicitaires (lire : iAd Workbench supervise les campagnes pub sur iOS). Cet outil permet notamment de cibler certains utilisateurs, mais il s’est aperçu qu’on pouvait le détourner pour obtenir facilement les identifiants de comptes iTunes. Il aurait immédiatement averti Apple de cette faille, non sans l’exploiter en guise de preuve, explique-t-il, pour collecter environ 100 000 adresses mail et noms d’utilisateur associés.



Après cette première découverte, ce spécialiste des failles de sécurité se serait penché sur le centre développeurs d’Apple et il aurait trouvé une faille bien plus conséquente, celle qui a fait fermer le site. Ibrahim Balic se défend d’avoir cherché à l’exploiter à des fins malicieuses et il précise que les données présentées dans ses vidéos provenaient toutes de la première faille.

Difficile d’y voir clair dans cette affaire, d’autant que le principal intéressé semble avoir du mal à s’expliquer sans erreur. Fidèle à son habitude, Apple ne répond pas aux questions concernant la faille et le constructeur n’a même pas répondu aux sollicitations de Balic après sa découverte. Quoi qu’il en soit, la durée de fermeture du site montre bien que le problème est sérieux et que l’entreprise dirigée par Tim Cook ne le prend pas à la légère…
Tags
#sécurité
avatar MA8306 | 
J'espère bien que Tim Cook a un peu la pression !
avatar Ielvin | 
Faille non exploitée mais il a eu les adresses mails ? -" désolé monsieur l'agent ma voiture a avancée toute seule quand j'ai appuyé sur l'accélérateur".
avatar Ali Baba | 
@ielvin : Non c'est plutôt : "Vous avez laissé la clé sur la porte alors je suis rentré et j'ai mis un mot, mais je n'ai rien volé".
avatar sekhmet | 
le gars qui a cracké les cartes visa, et l'a prouvé en achetant un ticket de métro a été condamné. le fait de découvrir une faille est une chose, l'utiliser en est une autre. dans toute cette affaire il y a bien utilisation. non pas pour des détournements d'argent ou du vol d'identité mais bien pour avoir ses quinze minutes de gloire...
avatar Claude_C | 
@sekhmet En effet, le type paraît rechercher l'attention plus qu'un boulot de consultant...
avatar bugman | 
@ Ali Baba : Que ma porte soit verrouillée ou juste 'claquée', personne ne devrait avoir l'idée saugrenu d'entrer par infraction chez moi. Si l'on aime prendre des risques, faut aussi apprendre à les assumer.
avatar Claude_C | 
On peut le voir en parler ici (sous-titres anglais). http://video.ntvmsnbc.com/applei-sarsan-turk-yazilimci-ntvmsnbcye-konustu-2.html Quand il a trouvé des bugs sur Facebook, ils l'ont remercié et lui ont entre autres envoyé un t-shirt. Ailleurs, il dit être fier d'être devenu le huitième Turc sur la "white hat list" de Facebook. Bref, un type gentil qui te pique ta voiture et te dit où il l'a stationnée. ;-)
avatar bugman | 
En tout cas, Apple communique (mail reçu ce soir). Et n'ont pas l'air de lui en vouloir beaucoup : "Last Thursday, an intruder attempted to secure personal information of our registered developers from our developer website."
avatar lyca | 
C'est un peu de la fierté mal placé pour Apple. C'est bien d'être fort et costaud, mais des fois faut juste être "grand".
avatar liocec | 
Le problème est lié au coût travail pour réparer la faille. Un jour je tombe sur une grosse faille de sécurité dans un des softs d'accès aux NAS Lacie. Je vais sur leur site et les informe qu'il faut 10 s pour trouver le mot de passe (le truc sensé interdire l'entrée dans le NAS). Ils n'ont pas bougé un doigt, rien n'a changé depuis. Alors comment faire "sans pousser" un peu pour que ça change ? Si demain on trouve une faille sur iPhone elle reste dans un coin et sera ou pas corrigée un jour. Si on "pousse" un peu, le pb est aussitôt traité.
avatar ricchy | 
@ liocec "Alors comment faire "sans pousser" un peu pour que ça change ?" Tu postes une vidéo sur la toile. ^_^
avatar hadrien01 | 
Je vais de ce pas relire les réactions de l'autre article pour voir qui est monté sur ses grands chevaux.
avatar Xalio | 
Arrêtez parce que sans ce genre de gars qu'on appelle les White Hat (Un hacker qui n'utilise pas les failles à des fins malhonnêtes) on n'aurai pas de sécurité aussi forte. (sans Black Hat non plus mais là ça fait mal…)
avatar phantoom | 
"iAd Workbench, un outil récent destiné aux publicitaires. Cet outil permet notamment de cibler certains utilisateurs" Quand on vous dit que Google n'est pas le seul a faire du pubage ciblé... Ce n'est certainement pas le business principal d'Apple, mais dans ce cas pourquoi sortir de tels outils, quel est leur intérêt si ce n'est pas l'argent généré par la pub ciblé? "La partie principale d'iAd Workbench comprend des options pour cibler son public en fonction de ses équipements (iPad, iPhone), de ses goûts, son sexe, son âge, sa situation géographique, etc. " Tout ce que fait Google en somme... Rien de plus rien de moins
avatar Jimmy_ | 
Apple a visiblement reçu 13 tickets à propos des failles et n'a pas donné suite. Si c'est vrai, c'est grave.
avatar Seccotine | 
Bon MacG, il serait temps d'arrêter de confondre pirate et hacker hein... Pour vous le rappeler, vous êtes un site web orienté informatique.
avatar Mickoo | 
@ielvin : Rire
avatar MiRouF | 
Bonjour MacG, désolé par avance mais je vais encore râler à cause de l'emploi du conditionnel dans vos articles. L'article source de Tech Crunch n'utilise le conditionnel qu'une seule fois au début pour dire que Bilic pense être à l'origine de la fermeture (c'est donc leur source qui utilise le conditionnel, et pas eux), tout le reste étant écrit à l'affirmative. Je ne comprends pas donc pourquoi vous écrivez: "Ibrahim Balic aurait commencé non pas directement avec le centre dédié aux développeurs, mais avec iAd Workbench". C'est affirmé dans l'article de Tech Crunch, Bilic le dit lui même, pourquoi utilisez vous le conditionnel ? Idem pour le reste: "Il aurait immédiatement averti Apple de cette faille", "ce spécialiste des failles de sécurité se serait penché sur le centre développeurs d’Apple", "il aurait trouvé une faille bien plus conséquente"... Tech Crunch qui le cite utilise l'affirmative, pourquoi pas vous ? Pourquoi ne pas simplement écrire "Bilic affirme avoir immédiatement averti Apple de cette faille", "Il dit s'être penché sur le centre développeurs d’Apple", ou encore "il affirme avoir trouvé une faille bien plus conséquente" ? Ce sont des affirmations que vous pouvez lui attribuer. Là, en utilisant le conditionnel on ne sait pas d'où ça sort, si c'est Tech Crunch, Bilic, vous où qui sais-je qui prétend cela. Ce manque de rigueur est dommage, d'autant qu'en cliquant sur l'article de Tech Crunch on voit ce qu'est un bon article sur ce sujet: Citations des sources, contact direct avec Bilic, contact avec Apple, contact avec des développeurs touchés. Bref un vrai travail d'investigation.
avatar bugman | 
@ MiRouF : Peut être juste que Nicolas n'ai pas eu, lui, un contact direct ni avec Apple, ni avec Ibrahim. Dans ma vie pro, je préfère passer pour un 'piniouf' aux yeux de certains quand j'informe de certaines choses (me semblant assez importantes tout en prenant un certain recule si je n'en suis pas sur à 100% à grands coups de "au fait, il parait que...") que de perdre en crédibilité en affirmant sans en être 100% sûr et en me vautrant lamentablement en cas d'erreur.
avatar MiRouF | 
Je suis d'accord et je sais très bien qu'ils ne peuvent pas faire forcement ce que Tech Crunch a fait. Ce dernier paragraphe dans mon commentaire est un peu hors sujet. Mais cela n'enlève rien au fait que je trouve exaspérant qu'ils utilisent du conditionnel là où la source utilise l'affirmatif, sans expliquer pourquoi. Résultat on ne sait plus qui a dit quoi, qui est la source, ce qui relève du commentaire, etc. Que les choses soient claires, je n'ai rien contre l'usage du conditionnel (par ex dans le titre de cet article) mais pas utilisé à tout bout de champs, sans explications et sans raisons. Il y a assez de rumeurs justifiant l'usage du conditionnel pour que quand on est en mesure d'affirmer on le fasse.
avatar bugman | 
@ MiRouF : Si je te dis que demain c'est la fin du monde et que tu aies envie d'en parler sur ton blog, dirais tu "Il semblerait d'après bugman que demain ce soit la fin du monde..." ou "Vous vivez les dernières heures de votre existence, demain sera le dernier jour, profitez en..." ? Si c'est une question de confiance, j'en ai plus en ce qui concerne Mr.Furno que je suis depuis pas mal d'années qu'en Mr. Balic que je ne connaissais même pas de nom hier encore.
avatar MiRouF | 
@ bugman Primo, blog ≠ site d'info (ce que MacG est). Secundo, comme je suis journaliste et pas bloggeur, je vérifie qui tu es (fiabilité de la source). Tertio si je pense que ton info est valable, je te cite en utilisant l'affirmatif: "selon Bugman la fin du monde est pour demain" (tu me le dis sans utiliser le conditionnel, je ne vois pas pourquoi je devrais écrire "selon Bugman la fin du monde serait pour demain").
avatar Hugo1978 | 
@MiRouF : 'Bonjour MacG, désolé par avance mais je vais encore râler à cause de l'emploi du conditionnel dans vos articles.' Perso, je trouve l'utilisation du conditionnel tout à fait correcte. Le journaliste ne peut pas être sûr que ce que dit Bilic soit vrai. Il emploie donc logiquement le conditionnel. Il pourrait aussi commencer toutes les phrases par Bilic affirme que,Il dit que, Il ajoute que... Mais cela alourdirait le style alors que là, je trouve que ça se lit agréablement.
avatar MiRouF | 
@Hugo1978 Je préfère une info au style lourd mais juste qu'aléatoire et bien écrite. Quand à croire Bilic le doute est permis en effet mais alors il faut pousser la logique jusqu'au bout et mettre aussi les phrases suivantes au conditionnel. Pourquoi croire seulement une partie de ce que dit Bilic ? "il réfute le rôle de pirate qu’on a pu lui attribuer depuis les débuts de l’affaire et il répète à nouveau n’avoir pas exploité la faille qu’il avait découverte." Au conditionnel ! "il s’est aperçu qu’on pouvait le détourner pour obtenir facilement les identifiants de comptes iTunes." Au conditionnel ! "Ibrahim Balic se défend d’avoir cherché à l’exploiter à des fins malicieuses et il précise que les données présentées dans ses vidéos provenaient toutes de la première faille." Au conditionnel ! "Apple ne répond pas aux questions concernant la faille et le constructeur n’a même pas répondu aux sollicitations de Balic après sa découverte." Au conditionnel ! Pourquoi affirmer ces phrases qui sont tirées du même article et de la même source (douteuse ?) Bilic ? De la rigueur, de la logique !
avatar Kraal | 
Coluche pourquoi nous as-tu quitté ? (Les plus vieux comprendront.) Quand je vois des "é" à la place de "er", des "ce" en lieu et place de "se", sans de tels fondamentaux, je ne m'étonne pas des autres erreurs de conjugaison, grammaire et orthographe que nous pouvons lire ici et ailleurs... À l'école mes enseignants m'ont appris qu'à travers la rigueur des écrits transparaît le respect de l'auteur pour le lecteur... L'auteur de l'article ne nous respecte-t-il pas ? Si ce n'est pas du manque de respect, la raison de ce conditionnel pourrait être due au fait que l'auteur manque juste de confiance pour avoir le courage de ses écrits (pas de couilles pour être plus direct)... Mais dans ce cas qu'il change de job, car là ce qu'il fait c'est de la désinformation.
avatar Kraal | 
Pour les nostalgiques : http://youtu.be/49-wjepuxn0 Pour les impatients, regardez à partir de 2:58 jusqu'à la fin.

CONNEXION UTILISATEUR