Apple, trop dilettante pour boucher simultanément les failles dans OS X et iOS ?

Mickaël Bazoge |

Apple facilite la vie des hackers malintentionnés. Le 21 février, le constructeur de Cupertino bouchait la fameuse vulnérabilité Goto Fail dans iOS… en prenant tout son temps pour combler la même faille dans OS X, qui a finalement été mis à jour le 25 février. La vulnérabilité étant la même sur les deux systèmes, les pirates ont donc eu un peu de temps devant eux pour étudier le code d'iOS réparé, repérer la faille et en tirer partie pour infecter OS X. C'est exactement ce que reproche Kristin Paget, ancienne « princesse hackeuse » chez Apple, qu'elle a quitté début février pour exercer ses talents chez Tesla.

Apple a fortement poussé à l'adoption d'OS X 10.9.2 qui bouchait la faille Goto Fail.

Objet de son ire ? 16 vulnérabilités sous OS X corrigées il y a trois semaines (via les mises à jour de Safari 6.1.3 pour Mountain Lion et 7.0.3 pour Mavericks), et seulement depuis hier sous iOS, avec iOS 7.1.1. Trois longues semaines durant lesquelles les hackers ont pu s'adonner aux délices de l'ingénierie inverse et auraient pu, pourquoi pas, injecter du code malveillant sur des iPhone et iPad, comme une des failles le permettait. Sur son blog, Paget n'y va pas de main morte envers son ancien employeur : « Apple prêche les vertus d'avoir un même noyau (…) partagé entre deux plateformes, mais n'applique les patchs qu'une plateforme à la fois, laissant les utilisateurs de l'autre plateforme exposés à des vulnérabilités connues pendant des semaines. Dans quel monde est-ce acceptable ? »

La spécialiste en sécurité informatique lance un concours, la chasse aux failles, qui s'apparente à un jeu des sept différences entre les mises à jour d'iOS et d'OS X. Le but : comparer les correctifs pour découvrir les failles communes bouchées pour un système d'exploitation et pas dans l'autre. Avec quelques (mauvaises) surprises à la clé ?

avatar pickwick | 

C'est pas beau de cracher dans la soupe...

avatar Madalvée | 

Pour une fois qu'OSX Mac a été favorisé…

avatar softjo | 

Apple n'est pas une firme qui aime boucher les bugs. Ceux qui sont relatifs à la sécurité, on voit que ça leur fait chier de le faire, donc ils prennent leur temps.

Pour les autres, ça dépend, ça prend de 1 mois à 10 ans. (pour ceux connus)

avatar Domsou | 

Je suis curieux de savoir ce que propose cette personne à la place ?
Aurait-il été préférable de laisser la faille sur iOS le temps de préparer le correctif pour Mac OS ?

avatar Mickaël Bazoge | 
J'imagine qu'il y avait moyen pour les équipes en charge du développement des deux OS de travailler ensemble et proposer les mises à jour en même temps.
avatar iRobot 5S | 

@MickaëlBazoge :
C'est la elle équipe il le semble, ça explique le temps de déploiement de mise a jour entre les 2 OS, ils bossent 1 a la fois.

avatar Mickaël Bazoge | 
Oui, il y a certainement quelque chose à améliorer de ce côté.
avatar Hedi2 | 

@Domsou :
... De corriger les deux en même temps par exemple?

avatar Ginger bread | 

Concernant ios Apple est pourtant feroce en la matiere, ios font tout pour rendre la plateforme sûre et en finier avc le jailbreak.
Mais pas tant que ça au final..

Vive Windows? Lol

avatar popeye1 | 

Elle a raison la petite madame, si on en juge par la rapidité de correction des bugs !

avatar popeye1 | 

Elle a raison la petite madame, si on en juge par la rapidité de correction des bugs !

avatar Vetsa | 

Holà les gars ne venaient pas prendre la défense d'Apple vu que le problème soulevait par cette personne est tout à fait légitime. Dans la mesure ou la faille existait pour les deux plateformes et qu'il s'est écoulé plusieurs semaines avant qu'un correctif ne soit proposé pour chacune des plateformes.

Si effectivement un hackeur avait profité de ce laps de temps pour injecter un code malicieux?

avatar Domsou | 

@Vetsa :
Il faut aussi arrêter de critiquer à la moindre occasion. Lors de la première faille révélée il y a 4 jours d'écart.
Il s'agit d'essayer de comprendre un processus de correction de failles qui concerne 2 OS : pas de défendre Apple à tout prix.
On parle d'OS là, de sécurité et de centaines de millions d'appareils concernés. Pas d'un script PHP qui impacte uniquement le développeur.

Le second cas soulevé a, quand à lui, été bien moins exposé médiatiquement parlant.

Corriger les problèmes en même temps : oui, bien sûr. Mais quid du déploiement ? Doit-on attendre que les 2 versions soient prêtes ou bien sortir une version dès qu'elle est prête ?

avatar jipeca | 

C'est amusant, vous me rappeler tous ceux qui défendaient l'administration Bush quand tout montraiit qu'ils se plantaient lamentablement et qu'ils mentaient au monde entier.
Vous avez la même attitude : Apple se fout de vous, mais faut pas en parler, ni les critiquer...

L'aspect médiatique n'a strictement aucune impoirtance, sinon de mettre en évidence que Apple, qui a toujours pris ses clients pour des vaches a lait dont ils se foutent éperdument tant que ça rapporte, ne change rien à ce merveilleux comportement, au contraire. Tant que ça marche, y a pas de taison !

avatar Designer_Drugs | 

@jipeca :
Aha... Moi c'est plutôt ce discours qui me fait rire. Car les sociétés en général sont des sociétés de bienfaisance ? C'est des personnes très correct qui vous font payer avec une toute toute petite marge... Parce que personne n'a besoin de beaucoup pour être heureux non ?
On parle de sécurité & le gamin parle de vache à lait. Punaise le cerveau... En tout cas j'imagine que la femme a raison dans l'article vu ses arguments.

avatar jipeca | 

Oui, bon ! Enfin pour certains, je m'aperçois que plus c'est simple plus c'est compliqué. Une phrase et il est perdu. Faut relire hein, petit, et arrêter de sniffer, sans doute.

avatar Vetsa | 

@Domsou :
Ou est-ce que tu as vu que je critiquais ! J'ai juste fait un constat à savoir : '...et si durant ce laps de temps là des hackeurs en avaient profité pour injecter leur code?!'

C'est tout ce que j'ai dit en aucun moment je n'ai lancé de critiques!

avatar iBenou | 

La question c'est surtout "à quelle vitesse les autres bouchent leurs failles?"

avatar iRobot 5S | 

@iRobot 5S :
*même

avatar init__zero | 

@iRobot 5S

Vrai & faux en même temps...

Auparavant un groupe de travail pouvait avoir en charge le développement de 3 ou 4 applications iOS alors qu’une autre équipe s’occupait des versions OS X de ces mêmes apps, depuis que Craig Federighi a pris le commandement, ce sont les mêmes équipes qui ont en charge les versions iOS et OS X pour chaque application.

avatar Ginger bread | 

@init__zero :

En parlant de ça, as tu une idee de ce que va apporter Craig à la nouvelle mouture d OSX hormis de nouvelles failles?

avatar marc_os | 

« Avec quelques (mauvaises) surprises à la clé ?»

J'aurais envie de demander : Avec quelle mauvaise intention à la clef ?

Elle s'est fait virer ou quoi pour être aussi agressive ?

avatar Orus | 

C'est là que la phrase :
« nous nous soucions de chaque détail, ce qui nous prend un peu de temps. Ce qui nous a toujours pris un peu de temps. (Tim Cook) »

prends tout son sens :)

avatar Moonwalker | 

Sur le principe "elle" n'a pas tort. Ça fait quand même désordre les failles corrigées chez l'un et laissées telles quelles chez l'autre. Sur la manière, c'est plus discutable. Pourquoi tant de véhémence ? Pas clair.

CONNEXION UTILISATEUR