Le FBI a divulgué une faille d’iOS et d’OS X à Apple

Mickaël Bazoge |

Le FBI a fait savoir à Apple qu’iOS et OS X souffraient d’une faille de sécurité, raconte Reuters. Qu’on se rassure, cette vulnérabilité, divulguée le 14 avril, a été corrigée avec iOS 9 et OS X El Capitan. En ce qui concerne les appareils mobiles, 80% des iPhone sont équipés du dernier OS en date, a expliqué Apple (et même 84%, (lire : L'adoption d'iOS 9 arrive presque au niveau d'iOS 7 en 2014). La Pomme n’a pas l’intention de livrer de patch correctif pour les anciens systèmes d’exploitation.

iFixit

Cette divulgation d’une faille a été réalisée par le biais du Vulnerability Equities Process, un mécanisme mis en place en 2014, et qui sert ici pour la première fois à informer Apple. C’est un système par lequel les autorités US évaluent la pertinence de prévenir un constructeur de la découverte d’une faille dans un de ses produits ; l’objectif est de faire en sorte qu’un correctif soit rapidement développé avant que la vulnérabilité ne puisse être exploitée par un malandrin.

Cette découverte du FBI ne change rien à la perception qu’a Apple de ce processus, qui se montre moins efficace que promis. C’est du moins ce qu’un cadre d’Apple a indiqué à Reuters sous couvert d’anonymat.

Cette faille n’est pas connectée au dossier de San Bernardino. D’après le Wall Street Journal , le Bureau aurait confirmé hier qu’il ne livrerait aucune information au constructeur. Les fins limiers fédéraux seraient même bien en peine d’expliquer quoi que ce soit, car ils en savent eux-mêmes « très peu » sur l’outil de piratage qui a été utilisé — c’est dire le niveau technique des autorités américaines… Apple avait auparavant indiqué qu’elle ne chercherait pas à en savoir plus sur la manière utilisée pour déverrouiller l’iPhone 5c au centre de toutes les attentions.

Tags
avatar desertea | 

Le fameux "malandrin" est enfin de retour !!!

avatar TheRV | 

Je ne comprends pas pourquoi le FBI devrait expliquer à Apple la procédure pour débloquer cet iPhone, d'autant que Apple n'est pas partie dans l'affaire San Bernadinio

avatar malcolmZ07 | 

@TheRV :
Si j'ai bien lu l'article , le fbi ne connaît pas non plus l'outil utilisé par les hackers. En tout cas , son fonctionnement. Mais c'est chère payé 1.3 million$

avatar C1rc3@0rc | 

Par ce que le FBI n'est pas que chargé des enquêtes fédérales impliquant des crimes, c'est aussi une agence qui participe a la surveillance du territoire et - en théorie - a la sécurisation de la population.
Et dans le cadre de cette sécurisation le FBI a une mission qui inclut la prévention du cybercrime.

Faut savoir que le FBI publie un rapport chaque années a destination des entreprises qui démontre l'évolution du cybercrime, des types d'attaques dont sont victimes les entreprises, des moyens utilisés et des méthodes et stratégies pour s'en défendre. Ce rapport demontre par exemple la croissance des cyber attaques et notamment la multiplication des virus durant les 10 dernières années, ce qui casse le marketing des boites comme Symantec qui refourguent de l'antivirus.

Il faut aussi savoir que le FBI est le principal partenaire de Microsoft dans la lutte contre les reseaux de botnet et que les plus grosses et efficaces actions contre les flottes de PC "zombies" servant lors des attaques DDoS ont ete mené conjointement par le FBI et Microsoft.

Le FBI organise aussi des formations en cybersecurité (oui je sais) a destination des entreprises.
Le FBI doit donc faire de son mieux et avec les moyens dont il dispose pour lutter contre les risques cybercriminels auxquels les entreprises et citoyens sont exposés, et faire combler des failles fait partie de sa mission.

Le problème qui se pose ici c'est que les failles ont été jugé suffisamment importante pour qu'elles face l'objet d'une publication. De son coté Apple juge qu'elles ne sont pas signifiantes vu le peu d'appareils concernées.
Bref un des deux est de mauvaise foi dans l'histoire et on est sur un problème de communication politique...

avatar Mécréant | 

@C1rc3@0rc:

Tant que je vous ai sous la main, j'aimerais savoir si vous ne répondez pas à mes interrogation à cet article (https://www.macg.co/aapl/2016/04/san-bernardino-le-fbi-paye-plus-de-13-million-de-dollars-la-faille-de-liphone-5c-93875) parce que:
1) Vous n'avez pas vu mes réponses à vos commentaires
2) Vous les avez vu, mais estimez qu'il n'y a plus assez de lecteurs potentiels pour prendre la peine de répondre
3) Vous les avez vu, mais ne savez que répondre

avatar TheRV | 

(Je sais que le droit américain n'est pas du tout pareil que le droit français, mais ça me paraît tordu pour préserver le secret de l'enquête)

avatar r e m y | 

"La Pomme n’a pas l’intention de livrer de patch correctif pour les anciens systèmes d’exploitation"

Les anciens OS ne sont pas concernés par la faille, ou Apple n'en a rien à péter de ces OS obsolètes de plus de 6 mois?

avatar Mécréant | 

@r e m y:

"Les anciens OS ne sont pas concernés par la faille, ou Apple n'en a rien à péter de ces OS obsolètes de plus de 6 mois?"

Seuls les anciens OS sont concernés par ces failles: tant pis pour ceux qui ont un terminal ne supportant pas les nouveaux OS, ils n'avaient qu'à payer cher et vilain pour en racheter un nouveau...

avatar lamainfroide | 

C'est tant pis aussi pour ceux qui veulent rester sur leur ancien OS.
Mais je crois qu'Apple a été bien clair concernant les OS à partir de n-3, arrêt total des mises à jour de sécurité (autrement dit, Apple s'en fout).
C'est encore plus flagrant pour iOS où Apple met à mort le système précédent dans un délai de 15 jours dès la sortie d'une nouvelle mise à jour (en se foutant royalement du fait qu'un upgrade puisse transformer en brique un iBidule, allant jusqu'à empêcher un downgrade). Ça ne semble pas émouvoir Apple (et, accessoirement, ça me pue au nez).
Qu'on ne supporte plus un système vieux de 10 ans (obsolescence, tout ça...), je veux bien comprendre.
Qu'on ne supporte plus un système vieux de 3 ans (pour OS) ou vieux d'un an (pour iOS), voilà qui ressemble fort à du foutage de gueule (sans parler du manque de respect envers celui qui paye le prix fort son produit technologique - mais qui n'est pas obligé non plus de rester chez le même épicier).

avatar Ginger bread | 

@lamainfroide :
C est pas l os mais l iPhone car le 5c contrairement au 5S et + ont une enclave sécurisée.

avatar lamainfroide | 

Soit,
Mais c'est bien de l'OS dont il est question dès que l'on ne signe plus les anciennes versions (empêchant, de fait, les mises à jour de sécurité sur ces versions là).
Bon, si ça se trouve, l'upgrade obligatoire pour rester en sécurité n'est que le prix à payer pour un OS maintenant gratuit.

avatar Mécréant | 

@Ginger Bread:

D'après l'article, c'est bien l'OS qui est concerné par la faille divulguée ici puisque "cette vulnérabilité (...) a été corrigée avec iOS 9 et OS X El Capitan" non avec les nouveaux iPhone/iPad/Mac...

avatar iPitch93 (non vérifié) | 

@Mécréant :
Vil mécréant !

L'iPhone le plus récent qui ne supporte pas ios9 est l'iPhone 4 sorti fin 2010 !

Si vous trouvez çà anormal, changez ! Rien ne vous en empêche !

avatar Mécréant | 

@iPitch93:

Oui, je suis un vil mécréant: ni Dieu, ni Pomme, ni Maître.

Plus sérieusement, il y a support et support... Mon iPad mini acheté deux semaines avant la sortie d'iOS 7 (j'ignorais alors qu'il y allait en avoir un nouveau) a parfaitement supporté iOS7, mais a été plombé par iOS8...

Il y a une différence entre le "support officiel" (mon iPad peut tourner sur iOS9, qui lui a même permis de récupérer légèrement en vitalité) et le fait qu'un terminal supporte mal un nouvel OS. Bref, voilà deux plus d'un an que j'utilise beaucoup moins mon iPad qu'avant: mon vieux smartphone Samsung tout pourri (je l'ai reçu de quelqu'un qui s'en débarrassait) est plus rapide et efficace. L'iPad reste rangé et ne me sert plus que de liseuse... ça fait cher pour une liseuse !

Depuis cette expérience, je sais que j'y réfléchirai à 2 fois (minimum) avant de faire plus d'une mise à jour d'iOS. Je peserai le pour et le contre:
- sécurité d'un OS mis à jour
- possibilité d'utiliser sans s'énerver à cause de la lenteur d'un terminal non mis à jour

avatar armandgz123 | 

@iPitch93 :
Et iPad ?

avatar marc_os | 

@Mécréant :
Le type il ne sait rien des failles en question, mais ça ne l'empêche pas d'affabulations tout haut, surtout pas. Moins j'en sais, plus je gueule. Les c.. C'est à ça qu'on les reconnaît.

avatar Mécréant | 

@marc_os:

Je ne suis pas sûr de comprendre à qui se réfere votre commentaire

avatar DarthVader | 

@r e m y :
Pour moi, c'est Apple qui est devenu obsolète

avatar kubernan | 

Ceci dit, il n'y a pas que le FBI : je me demande en effet jusqu'à quel point la NSA par exemple (ou une autre instance du même acabit) a connaissance de certaines failles et se les garde pour elle, sans les divulguer à ses camarades.

avatar Paquito06 | 

L'article oublie de mentionner que le FBI a aussi revele une faille sous XP...

avatar PierreBondurant | 

"c’est dire le niveau technique des autorités américaines…"

Vous pensez sérieusement ça ?

Perso, il m'avait semblé via les révélations de l'ami Snowden qu'ils étaient plutôt bon techniquement à la fois dans la surveillance de masse et l'espionnage ciblé.
Le fait qu'ils prétendent être à la ramasse me semble plus tenir de la stratégie de communication du type "plus c'est gros plus ça passe"

avatar Ginger bread | 

@PierreBondurant :
+1

avatar Mickaël Bazoge | 
Je disais ça en pensant très fort au changement de mot de passe iCloud de l'iPhone 5c de San Bernardino qui a empêché le smartphone de synchroniser ses données dans le nuage, et qui a provoqué tout ce pataquès.
avatar Moonwalker | 

Snowden bossait pour la N.S.A. et pas pour ces ploucs du F.B.I.

avatar armandgz123 | 

Super... Mon iPad 3 et air vont rester sur iOS 8 vue les lenteurs d'iOS 9...
Mais bon, je m'en fout des failles.

avatar Oncle Sophocle | 

Je rétablis les phrases dans l'ordre logique (= chronologique)

"l’objectif est de faire en sorte qu’un correctif soit rapidement développé avant que la vulnérabilité ne puisse être exploitée par un malandrin."

"La Pomme n’a pas l’intention de livrer de patch correctif pour les anciens systèmes d’exploitation."

Tout le monde assis, les enfants, le rideau va s'ouvrir, vous allez voir le tout dernier spectacle de Guignol !

CONNEXION UTILISATEUR