Safari n'a pas tenu 20 secondes face aux hackers de Pangu

Mickaël Bazoge |

En 20 secondes, d’astucieux hackers ont obtenu un accès root dans Safari sous macOS Sierra. Ils en ont fait la démonstration durant PWNFEST, une conférence sur la sécurité informatique qui se tient actuellement à Séoul. Les bidouilleurs sont repartis avec une récompense d’un total de 100 000 $. Ce ne sont pas des inconnus, loin de là, puisque l’équipe qui a eu raison si vite de Safari est entre autres composée de membres de Pangu — ceux-là même qui livrent régulièrement des jailbreaks d’iOS.

Les organisateurs de l’événement n’ont donné aucune précision sur la nature de la vulnérabilité qui a permis à ces habiles programmeurs de pousser ainsi la porte au navigateur. Safari n’est pas le seul logiciel à être tombé au champ d’honneur : Edge, le navigateur de Microsoft sous Windows 10, a aussi été hacké, tout comme le Pixel de Google (en 60 secondes)… et Flash, en moins de 4 secondes cette fois. Les informations ont été transmises aux constructeurs afin qu’ils bouchent les failles.

Et bim le Pixel.

En revanche, personne n’a pu pénétrer par effraction dans iOS 10 ; la récompense est pourtant de taille : 170 000 $.

avatar R1x_Fr1x | 

Comme quoi au final ce ne sont pas de sombres anonymes qui vont nous dévorer pendant notre sommeil, ils se prennent au jeu. Peut-être que de l'éternelle suspicion sur eux car chinois, on se dira que finalement, c'est peut-être juste une bande de passionnés surdoués. Comme Geohot. Sauf que ce dernier a la "chance" d'être américain, donc la présomption de culpabilité en moins.

iOS 10 resté inviolé, ça c'est la bonne nouvelle.

avatar jean512 | 

bravo aux petits chinois. Concernant la penetration dans iOS 10 il y a une organisation qui récompense jusqu'a 1 million de dollars, donc si quelqu'un trouve vaux mieux pas la dévoila à cet événement et toucher seulement 170k$

avatar Pomme2Poule | 

@jean512

"petits chinois"... ??
Il faut vraiment arrêter avec cette expression, elle craint... ?

avatar fte | 

c'est condescendant au possible, je te suis complètement il faut arrêter et faire preuve d'un peu de respect.

avatar macfredx | 

+1

À prendre les chinois pour des c..., vous risquez d'avoir bien des surprises un de ces quatres matins... ?

avatar protos | 

@macfredx

Il y a aussi les "petits coréens" qui font des voitures, des téléviseurs, des smartphones, des appareils ménagers, des clims etc...

avatar bonnepoire | 

Les coréens c'est pas plutôt des bombes?

avatar macfredx | 

Des bombes incendiaires... ?

avatar protos | 

@bonnepoire

Tu fais l'âne pour avoir du son ?

avatar bonnepoire | 

Quelle repartie...

avatar protos | 

@bonnepoire

Tu as vu un peu ! Hi Han, Hi Han

avatar bonnepoire | 

Avec toi on a droit aux commentaires les plus stupides jamais lus... c'est consternant.

avatar protos | 

@bonnepoire

Tu es un enragé toi ! Je crois que les commentaires les plus stupides jamais lus sont les tiens ...

Tu bois quoi ? Du vin ? Mets toi à l'eau dans ce cas... et au son ! Hi hi hi...

avatar bonnepoire | 

Ta répartie fait mouche! C'est pas moi c'est toi.

Syndicaliste?

avatar protos | 

@bonnepoire

Ca confirme ce que je disais. Tu es un enragé ! Tu te crois dans une foire d'empoigne ? Tes commentaires n'apportent aucune valeur au sujet. Tu passes ton temps à régler tes comptes avec untel ou untel. C'est le propre du psychopathe qui ne supporte pas d'être contredit et contesté.

avatar bonnepoire | 

T'es sérieux? Tu attaques sans amener une once d'argument et sans vocabulaire et tu donnes des leçons?

"Tu fais l'âne pour avoir du son ?" => NO COMMENT

avatar protos | 

@bonnepoire

Eh ben je te retourne le compliment mon cher. Tu sais la psychopathie est longue à guérir...

Tu consultes ? Tu devrais. Je dis ça pour t'apporter une once d'aide. Hi hi hi

avatar macfredx | 

@protos

Oui, pour certains, ils sont aussi c... que les chinois.
' toute façon, c'est rien que des niaquoués... ! ?

avatar protos | 

@macfredx

Et les japonnais, ce sont aussi des niaquoués ?

En tout cas, lorsque ces cons d'américains ont foutus la merde dans le système financier mondial avec leur connerie de subprimes, ce sont les chinois qui ont renfloués les banques américaines au bord de la faillite.

Merci les chinois !

avatar macfredx | 

T'as pas l'impression d'être à côté de la plaque ? ?

avatar protos | 

@macfredx

Je crois que c'est toi qui est à côté de la plaque ! Mon argument fait mouche puisque tu y réponds. C'est la preuve que tu n'avais pas vu les "petits chinois" sous cet angle et que ça te dérange quelque part !

Tu sais ce qu'ils te disent les niaquoués ?... Je te laisses deviner...

avatar R1x_Fr1x | 

"petits chinois"... smh

avatar Manubzh | 

venant d'un petit français c'est d'un ridicule !

avatar macfredx | 

+1

avatar lll | 

D'un Français ou non, c'est ridicule. Ta remarque est aussi ridicule que la sienne !

avatar Manubzh | 

c'était une remarque sarcastique pour rebondir avec ce qu'il a dit, respire...

avatar Almux | 

Surtout si un français "noir", de surcroît (mais quelle horreur)!!!!!

Ouais, bon! --->

avatar CNNN | 

Bien sûr qu'iOS est hackable mais cest en million qui fait dépenser :)

avatar alan1bangkok | 

j'avais tout juste aussi . J'ai pas mis plus de 20 secondes a mettre Safari aux oubliettes sous Sierra...
Tim fais tomber 100 sacs !

avatar macfredx | 

Et tu as mis quoi à la place ?
Tu es sûr que tu as gagné au change?

avatar protos | 

@macfredx

Moi j'utilise quotidiennement Chrome ça remplace totalement Safari, qui ne me permet plus de lire certaines videos (Flash etc..)

avatar Nesus | 

@protos

Très bonne idée vu que Chrome intègre flash et qui est une passoire. En plus d'être un super trackeur et une application horriblement energivore.
Comme soigner la peste par le choléra...

avatar Manubzh | 

en attendant bizarrement safari est devenu vachement pus lent, sur certains sites j'ai eu la surprise que des modules n'apparaissait pas (qui ne sont pas en flash !!!)

là où safari était toujours au top auparavant, depuis tim, on dirait que safari a été abandonné à part au niveau esthétique ...

avatar protos | 

@Nesus ou Nexus de Google

Peu importe j'adore Chrome, il est très performant. Regarder des videos YouTube c'est plus cool sous Chrome que sous Safari et en plus j'ai le Nexus Player donc pour regarder des vidéos YouTube sur la TV et trouvées sous Chrome c'est juste génial mon petit !!!! Sous Chrome, lorsque tu as un Nexus Player ou un Chrome Cast, il y a une icône particulière qui s'affiche et que tu ne vois pas sous Safari ! Voilà mon petit, tu sais tout !

Safari lui ne se connecte pas au Nexus Player et Air Play c'est hyper pas utilisable avec la Freebox, ça plante énormément. Voilà mon petit, maintenant tu sais tout !

Merci Google !

avatar ArnaudB | 

Et tu n'en a rien à foutre non plus d'être traqué et d'être un produit google, de voir ton ordi infecté par des mailwares passant dans flash, de te faire encombrer l'écran par des pub en flash...

avatar macfredx | 

@protos

Virer Safari pour mettre Chrome à la place, faut y croire...
Enfin, chacun fait ce qu'il veut.

avatar protos | 

@macfredx

je n'ai pas viré Safari, je préfère utiliser Chrome. Il est plus adapté à mon usage. Je m'en fout de la consommation électrique et de la quantité de mémoire glotonnée. Ca marche très bien pour moi

Merci pour vos commentaires et merci Google !

avatar Paquito06 | 

En 20 sec, c'est pas une faille 0-day mais qq chose qu'ils avaient gardé au chaud depuis un moment et qu'Apple n'a jamais vu ou fixé. Apres, ca depend de la machine sur laquelle ils operent pour executer la ligne de code, 20 sec parait normal. Pour iOS, c'est peut etre deja hacke/cracke on n'en sait rien.

avatar françois bayrou | 

Toutes les failles présentées sont gardées au chaud; 20s, c'est le temps de la démonstration, pas le temps de la découverte + le temps de faire la démonstration :)
4s pour hacker flash, euh, ... je sais que c'est une passoire mais quand même... vaux mieux savoir taper vite :)

Et si Apple, comme tu le dis, ne les a jamais vu ou fixé, ce sont bien des 0-day.

"une vulnérabilité Zero day (en français : Jour zéro) est une vulnérabilité informatique n'ayant fait l'objet d'aucune publication ou n'ayant aucun correctif connu." ( Wikipedia )

avatar Paquito06 | 

@françois bayrou

En effet.
Pour le 0-day, je m'entends, la definition stricte etant la connaissance du grand public ou de l'editeur (wiki), mais ca fait peut etre un moment qu'elle tourne dans un groupe de quelques personne, pour eux c'est plus du 0-day du coup. J'espere qu'ils n'en ont pas une dizaine comme ca ?

avatar françois bayrou | 

"pour eux c'est plus du 0-day du coup"

Si, ça l'est toujours ! Enfin ca l'était puisque Apple est à présent au courant.

Faut pas comprendre 0-day par "on vient de la découvrir" mais par "l"éditeur n'est encore pas au courant, ce gros boloss"

Et oui faut espérer qu'ils n'en n'aie pas des palettes en stock, des comme ça.
Je ne suis pas allé voir les détails, mais obtenir un accès root via Safari, c'est vraiment pas rassurant. Est ce que ça fonctionnait sans accès physique à la machine, avec un simple lien ?
Un peu comme ces SMS vérolés, il y a 1 ou 2 ans, qui permettaient d'être root sur iOS même sans qu'il soit ouvert ?

avatar Apollo11 | 

La question est de savoir si la faille peut être exploitée à distance ou s'il faut un accès physique à la machine.

C'est très différent.

avatar BitNic | 

Ah mais moi je pénètre tous les jours par effraction dans mon iPhone : Je lui mets mon doigt... si c'est pas une effraction ça !!!!

avatar ijimax | 

@BitNic

Excellent

avatar deltiox | 

@BitNic :
Ca depend s'il est majeur et consentant

avatar françois bayrou | 

Le doigt ?

avatar lecapotar | 

Tien, je ne connaissais pas ce doigt le « consentant », lequel est-ce ?

avatar DG33 | 

Le doigt qu'on sent tant, c'est celui sur lequel on a tapé très fort avec un marteau

avatar Jeckill13 | 

@DG33

Ou celui avec qui tu n'es gratté le c..

avatar becausebreast | 

C'est le majeur de doigt, t'en fait pas pour son âge...

Pages

CONNEXION UTILISATEUR