Sécurité : Apple encore piégé par son manque de réactivité

Christophe Laporte |

Sale temps pour Apple sur le front de la sécurité. Deux jolies failles ont été découvertes dans ses systèmes d'exploitation. Et dans ces deux cas de figure, Apple a une nouvelle fois péché à cause de son manque de réactivité.




La faille sudo connue depuis mars

La première faille (re)découverte en milieu de semaine dernière concerne la commande sudo. Cette commande permet à l'administrateur système d'autoriser d'autres utilisateurs à exécuter des commandes en tant que super utilisateur.


Comme nous l'expliquions en début de semaine (lire : Une faille de sécurité relative à la commande sudo touche OS X), en réglant l'horloge système sur le 1er janvier 1970, il est possible d'avoir tous les droits sur la machine sans le mot de passe maître. Cette date n'est pas due au hasard, elle est considérée comme étant la date de naissance d'Unix. Il s'agit en quelque sorte de l'an 0 du système.



Dans l'exemple que nous donnions, nous ne faisons qu'afficher la date, mais une personne malintentionnée peut en deux temps trois mouvements faire tout ce qu'il veut de votre ordinateur.




La faille n'est pas béante non plus, elle nécessite une série de conditions pour pouvoir être exploitée. L'utilisateur qui est connecté doit avoir les privilèges administrateurs et doit avoir effectué au moins une fois une commande sudo auparavant. Mais conjuguées à d'autres failles, elle est susceptible de faire des dégâts.



Concrètement, toutes les versions de sudo allant de 1.6.0 à 1.7.10pc et de 1.8.0 à 1.8.6pc sont concernées par cette faille. Cette faille touche Lion et Mountain Lion, mais pas Mavericks qui embarque une version de sudo plus récente.



Là où Apple est impardonnable, c'est que cette faille est connue de tous depuis près de six mois. Au passage, si vous souhaitez protéger votre Mac de cette faille en attendant qu'Apple réagisse, nous vous recommandons la lecture de ce billet de Yoann Gini - l'auteur de notre ouvrage consacré à OS X Server - qui donne la marche à suivre.



La chaîne de caractères qui fait planter iOS et OS X

Puisqu'un problème ne vient jamais seul, Apple s'est retrouvé confronté à un autre problème cette semaine. Celui de cette chaîne de caractères qui peut faire planter des applications OS X et iOS. Composée de caractères de la table Unicode/U0600, autrement dit de caractères arabes, elle affecte toutes les applications utilisant l'API de rendu textuel CoreText.



Découverte au moins depuis le mois de février, cette chaîne de texte fait planter automatiquement tous les logiciels utilisant l’API d’Apple (lire : La chaîne de caractères qui faisait planter OS X et iOS). Cela va de Safari à Chrome en passant par Messages ou encore Mail.




Là encore, le manque de réactivité d’Apple est pointé du doigt. Preuve s’il en faut, le développeur Filippo Bigarella a mis au point un correctif à l’attention de tous les appareils jailbreakés en l’espace de quelques heures.





Ce week-end Blogmotion a publié une vidéo montrant à quel point il était simple de faire redémarrer un iPhone à distance à l’aide de cette faille. Pire encore, il n’est apparemment pas possible d’accéder à Messages par la suite sans passer par la case restauration. On imagine qu’une personne malintentionnée peut facilement faire des dégâts.



Le laxisme d’Apple une nouvelle fois pointée du doigt



Ces deux nouvelles failles montrent bien toute l’ambiguïté d’Apple vis à vis de la sécurité. Apple a fait indéniablement des progrès sur ce front. Plusieurs chercheurs de sécurité et hackers ont reconnu qu’Apple prenait depuis quelques années déjà cette problématique bien plus au sérieux que par le passé. Elle a ces dernières années embauché de nombreuses pointures dans le domaine.


Lors de la sortie du jailbreak d’iOS 6, le hacker pod2g reconnaissait qu’il était de plus en plus difficile d’arriver à mettre en défaut le système d’Apple (lire : Interview jailbreak iOS 6 : pod2g, hacker ouvert).



Sur ce front, les développeurs ont également souvent reproché à Apple de faire un peu trop de zèle. La mise en place du sandboxing notamment a fait grincer beaucoup de dents.


Mais le plus grand problème d’Apple reste son incroyable manque de réactivité. On aurait pu penser qu’Apple avait retenu les leçons de l’affaire Flashback, qui selon des estimations, avait touché environ 600 000 Mac (lire : Malware : le Mac face à sa première crise majeure ?). Ce malware avait profité du laxisme d’Apple. Il exploitait une faille majeure de Java qui avait été signalée depuis plusieurs semaines et pour laquelle Apple n’avait pas bougé le petit doigt.





Ce qui est d’autant plus étonnant dans cette affaire, c’est que manifestement Apple est au courant des vulnérabilités qui lui ont été signalées, puisqu’iOS 7 et Mavericks - tous deux en bêta - ont été immunisés. Alors pourquoi Apple a tant de mal à faire preuve de réactivité ? Est-ce une question de priorité ? Un problème de ressources en interne ?



La question reste entière. Il ne faut pas faire de catastrophisme pour autant. Quoi qu’on en dise, iOS et OS X sont des systèmes relativement sûrs. Apple a fait de gros efforts au fil du temps pour sécuriser ses deux logiciels système.



Toutefois, malgré toute la bonne volonté du monde, on continuera toujours à trouver des failles ici ou là. Et si Apple veut faire figure de bon élève et se mettre à l’abri de mauvaises surprises, elle n’a pas d’autre choix que de faire preuve de réactivité !

Tags
#sécurité
avatar pslauver | 
Enfin bon quoi ! C'est du pipi de chat là
avatar Mathias10 | 
Patché :-)
avatar platj21 | 
"Pire encore, il n’est apparemment pas possible d’accéder à Messages par la suite sans passer par la case restauration" C'est exact :D je l'ai envoyé a un pote pour m'amuser, maintenant, il peut plus envoyer de message sauf en passant par Contact->"Jacky truc" -> envoyer un message ^^ ou sinon, il utilise What's App
avatar tomahawkcochise | 
@ mathias 10 : patché quoi ???? Ce n'était pas à Apple de réagir mais à Oracle et son Java plein de trous... D'autant plus que Java est loin d'être nécessaire.
avatar Mathias10 | 
@tomahawkcochise : Le truc pour iphone
avatar Mathias10 | 
L'avantage c'est que si une conversation part en live sur les coms et que les modos ne font rien, un rageux met la chaine et hop! Voir les haterz peuvent s'amuser à tous nous faire planter. Zut , j'ai donné l'idée
avatar platj21 | 
@mathias10 : Exactement ! :D d'ailleurs, je vais la mettre tout de suite ! Merci ! 3:)
avatar platj21 | 
[Modéré ]
avatar Psylo | 
Depuis windows 95 les utilisateurs huuuuurlent, à juste titre, contre certaines pratiques et attitudes de Microsoft. Depuis l'arrivée d'OSX vers 2000, Apple se permet parfois de faire encore pire et tout le monde trouve ça normal. 6 mois pour corriger des failles majeures, WTF ????
avatar Mathias10 | 
@platj21 : C'est auto-modéré je pense :-) macg ne sont pas fou
avatar Psylo | 
@mathias10 non c'est fait à la main, ils sont pas foutus de coder ce genre de fonctionnalité.
avatar platj21 | 
@mathias10 : C'est moi qui ai marqué [Modéré] xD J'ai déjà marqué la chaîne de caractères dans un autre article ;) je suis pas aussi idiot ( quoique... ) pour me faire encore modéré :D
avatar Anonyme (non vérifié) | 
Bon... En attendant c'est quand même sur Androïd que l'installation d'un anti-virus commence à être gentiment indispensable... Depuis le temps qu'on nous annonce des raz-de-marée de troyens en autres virus sur iOS/macOS... On attend toujours !
avatar hartgers | 
@platj21 : abruti.
avatar platj21 | 
@hartgers : '@platj21 : abruti.' Oui je sais B-) et fier de l'être !
avatar joneskind | 
@Psylo : Quand t'as cinquante mille bouton sur la gueule, c'est plus difficile de pointer le furoncle le plus dégueulasse que quand t'en as trois. Là c'est pareil. Windows a la vérole. On s'y est habitué. Cependant ça n'excuse en rien l'attitude totalement irresponsable d'Apple.
avatar moitoi | 
Ce qui est inquiétant, c'est que ces OS sont utilisés couramment. C'est vraiment pas pratique pour les personnes qui ont besoin de confidentialité...
avatar eilon | 
@platj21 : C'est sympa d'être ton pote on dirait !
avatar eilon | 
@tomahawkcochise : Pourquoi tu désinstalles pas Java alors ? En revanche ce qui est vrai c'est qu'Oracle aurait dû réagir, c'est son produit après tout...
avatar Anonyme (non vérifié) | 
Hem... Confidentialité sur Windows ou sur Androïd ?? Connaissant Microsoft et Google, faut pas rêver... Dommage que le Ubuntu Edge ne se fasse pas : ça aurait été la seule alternative vraiment rassurante.
avatar Djipsy5 | 
En tout cas sur facebook, il est impossible d'accéder à la page iPhone et Apple. Safari quitte aussitôt. Surement la blague d'un petit malin qui a du y publier cette série de caractère.
avatar ErGo_404 | 
@mcordas : En attendant, Android ne plante pas lorsque tu lui tapes une chaîne de caractères dans n'importe quelle application. C'est une faille majeure, surtout si la restauration est la seule solution pour récupérer une application Messages fonctionnelle. C'est pas comme si ça bloquait la fonction bourse dont personne n'a rien à faire, non, ça bloque une des fonctions principales du téléphone.
avatar Serge 001 | 
C’est tout à fait hors sujet, mais la première chose qui m’a frappé en lisant cet article, c’est la capture d’écran du Terminal où l’on voit les ombres de la fenêtre qui donnent cette profondeur et cette classe propres à OS X et que l’on risque de voir disparaître si le système d’exploitation prend un jour — qui, j’espère, ne viendra jamais — l’aspect d’iOS 7.
avatar iRobot 5S | 
Apple n'est pas réactif et pas seulement dans la sécurité ! Avec le lancement chaotique de Plan ils avaient promis des améliorations, ils auraient du préciser qu'elles n'arriveraient qu'avec iOS7 1 an plus tard ! Et c'est long un an !
avatar bgood | 
Je suis sur que sur androïdes on peux trouver le même genre de faille il suffit juste de mettre la même énergie à chercher ces failles...
avatar Jean-Jacques Cortes | 
Avec plus de 18 000 employés à Cupertino, Apple pourrait bien faire un effort en affectant 1000 d'entre-eux pour assurée la sécurité de ses OS.
avatar Shralldam | 
@Psylo : Où as-tu vu quelqu'un qui trouve ça normal ?
avatar JustTheWay | 
@bgood : pas nécessairement besoin de chercher sur Android vu qu'ils passent par les applications téléchargés. Chaque OS a ses faiblesses de toute manière, puis on se base pas uniquement sur un point quand on préfère un OS.
avatar Esv | 
Ça ne bloques pas Messages ; il suffit de demander à quelqu'un d'envoyer pleins de SMS de façon à ce que la chaîne codée partent dans l'historique ; quand elle y sera, tu pourra atteindre le menu de l'apps Message et supprimer la fameuse conversation. Facile mais chiant, je l'admet.
avatar platj21 | 
@eilon : '@platj21 : C'est sympa d'être ton pote on dirait !' Ouai ça peut aller ! :P
avatar damiendu83600 | 
@iRobot 5S : Avec IOS 7 plan c'est bien amélioré.
avatar iRobot 5S | 
@damiendu83600 : C'est ce que je dis il a fallu attendre 1 an !
avatar damiendu83600 | 
@iRobot 5S : C'est tout à fait normal ... Google maps ne c'est pas fait en un jour ...
avatar lukasmars | 
Je me souviens de l'argumentaire des mac addictics lors de la découverte de failles comme aux systémes Unix : Quoi les mecs de FreeBSD patchent en quelques heures, ceux de Linux en quelques jours, et il faut à Apple plusiuers mois ????? Reponse des mac addict : Ah oui mais on peux pas comparer, les mecs de FreeBSD pondent un patch mal foutu , chez Apple c'est un code bien plus propre ; il serait presque esthétique le code..... Mon Dieu qu'ils sont attendrissants .
avatar applefanboy13200 | 
Je me suis amusé à l'envoyer à ma copine, via mail, et du coup impossible d'utiliser tout les services d'iCloud, tout plante...
avatar iRobot 5S | 
@damiendu83600 : On attend pas un an pour avoir une Maj avec Google maps
avatar iRobot 5S | 
@applefanboy13200 : Elle t'aime ta copine
avatar bompi | 
Pour [i]sudo[/i] : Il me semble qu'activer l'option "tty_tickets" suffit à parer au bug : cette option permet d'affecter le ticket obtenu avec [i]sudo[/i] au seul TTY sur lequel on l'a obtenu. L'option a ceci d'agaçant qu'elle oblige à retaper son mot de passe dans chaque shell dans lequel on utilise la commande. Mais c'est le comportement par défaut sur Linux (au moins certaines distributions) et on n'en meurt pas ;-) J'ai fait un test et ça me paraît correct (mais j'ai pu merdouiller, évidemment). Attention toutefois à ne pas vous tromper : fiche en l'air le fichier sudoers est déconseillé (ça se rattrape mais bon...)
avatar Cowboy Funcky | 
Cette date n'est pas due au hasard, elle est considérée comme étant la date de naissance d'Unix. Il s'agit en quelque sorte de l'an 0 du système. Amen !
avatar hartgers | 
iRobot 5S : non, mais Google travaille dessus depuis... 2004. Presque 10 ans ! C'est un pilier central des produits de Google. Plans est davantage un hobby pour Apple. Et tout le monde est content, puisque depuis, Google Maps a été mis à jour avec tout ce qui manquait auparavant.
avatar iRobot 5S | 
@hartgers : Mouais dans ce sens t'as raison
avatar patrick86 | 
@Psylo : "Depuis windows 95 les utilisateurs huuuuurlent, à juste titre, contre certaines pratiques et attitudes de Microsoft. Depuis l'arrivée d'OSX vers 2000, Apple se permet parfois de faire encore pire et tout le monde trouve ça normal. 6 mois pour corriger des failles majeures, WTF ????" Une chaine de caractère que seuls trois abrutis s'amusent à taper sur un forum ou à envoyer à leur contact pour faire planter leurs machines, tu appelles ça une faille majeure ?
avatar patrick86 | 
@iRobot 5S : "C'est ce que je dis il a fallu attendre 1 an !" Google Maps a mis combien de temps pour atteindre sa qualité actuelle ?
avatar Anonyme (non vérifié) | 
@eilon @tomahawkcochise Nan, c'était la faute d'Apple le retard. Suffit de lire le lien donné dans l'article. Oracle publie les correctifs "rapidement" puis Apple attend, attend, attend pour mettre à jour Java sur Mac.
avatar DrFatalis | 
En ne corrigeant les failles que sur le nouvel OS, on pousse tout simplement à son adoption inévitable... C'est une simple stratégie.
avatar pierreko | 
"Apple a une nouvelle fois péché à cause de son manque de réactivité" J'espère que c'est une blague. Je sais que ça fait les gros titres quand on trouve des phrases d'accroche comme ça, mais faudrait encore que ça respecte la vérité... On dérive vraiment dans du journalisme bas de gamme. Ca fait peur... L'abrutissage par la désinformation dans toute sa splendeur.
avatar albinoz | 
Ce que j'adore avec le journalisme a sensation c'est qu'on peut se faire un film de tout et n'importe quoi… Qu'un a été bousculé dans le Train ? Traduction journalistique : Une Grave agression dans le train aurait pu faire tombé quelqu'un … La faille sudo, c'est l'utilisateur qui laisse son mac à porter de main a n'importe qui, la faille des caractères, bon la ok, je serais curieux de savoir ce que ça veux dire ?
avatar albert einstein | 
Je n'ai rien lu de plus angoissant depuis la fin du monde prévue le 21 décembre 2012... Vite Apple à Bugarach
avatar iRobot 5S | 
@patrick86 : Longtemps, mais ils ont commencé par la base, avoir des images correctes, puis une signalisation correcte et après ils ont rajouté tout ce qui est itinéraire, trafic et tout ! Apple fait tout en même temps dans maps, ils se sont précipité ce qui est bien dommage
avatar franfran94800 | 
Rolala! J'ai deja dit comment faire pour debloquer quelqu'un a qui on a envoyer la chaine de carractere par message! Il faut que ce soit la personne qui vous l'a envoyé qui fasse la manip: -envoyer plein plein plein de sms a la personne qu'elle a bloqué jusqu'a ce que la chaine passe en historique -sur l'iphone bloquer, une fois l'acces a Messages disponible, supprimer la conversation pour eviter de se rebloquer. Enjoy!

Pages

CONNEXION UTILISATEUR