Fermer le menu

Messages : une nouvelle faille de sécurité et de communication pour Apple

Florian Innocente | | 22:45 |  223

Le système qui permet à l'utilisateur d'un Mac d'envoyer un SMS au travers de son iPhone comportait un méchant bug de sécurité, explique Khaos Tian. Ce dernier s'est fait remarquer ces dernières semaines en mettant à jour une importante faille de sécurité dans HomeKit et en montrant, au passage, que la communication entre l'équipe sécurité d'Apple et ceux qui leur soumettent des bugs n'était pas toujours au niveau des enjeux (lire HomeKit : la sécurité de la maison Apple se fissure).

Rebelote avec cette nouvelle découverte que détaille Khaos Tian. Apple l'a corrigée il y a une semaine mais il exprime à nouveau sa frustration vis-à-vis de ses interlocuteurs chez la Pomme.

Un attaquant (à droite sur le Galaxy) peut envoyer un SMS en se faisant passer pour le propriétaire du compte iCloud associé à l'iPhone (à gauche), voir la vidéo Cliquer pour agrandir

Le bug se situait côté serveur, au niveau d'IDS, l'annuaire qui associe l'identité d'un utilisateur (numéro de téléphone, email) avec son appareil iOS. Khaos Tian a découvert que l'on pouvait se substituer à cette personne et envoyer, en son nom, des SMS à une autre, qui croira leur origine parfaitement légitime :

Vous voyez cette fonction super pratique et magique qui vous permet d'envoyer des SMS sur votre Mac via votre téléphone ? Il s'avère que la partie "Ça fonctionne tout simplement" n'est possible que parce que votre téléphone va traiter n'importe quelle commande lui demandant d'envoyer des SMS à partir du numéro actuel. Et notre assistant personnel bien-aimé, Siri ? C'est aussi un "pantin" qui traite la commande sans vérifier que la commande vient de vous. Les deux daemons [des processus système, ndlr] ne vérifient pas l'origine du message et traitent la requête lorsque IDS la leur transmet.

Normalement, poursuit Khaos Tian, IDS est prévu pour que seul le propriétaire d'un compte iCloud puisse envoyer des SMS via la passerelle du Mac ou par Siri. Cependant, un hacker pouvait expédier un message à IDS contenant — en plus du texte destiné à l'interlocuteur visé — une instruction capable de forcer son envoi comme s'il s'agissait d'un SMS. C'est ainsi le message lui-même qui avait valeur de preuve de sa légitimité au lieu de son expéditeur.

Khaos Tian dit qu'Apple a corrigé cette faiblesse entre le 19 et le 20 décembre. Il en avait fait la découverte les 15 et 16 décembre. Le hacker avait contacté Apple en émettant le désir d'obtenir l'invitation permettant de participer à son programme de récompenses.

Il a communiqué quelques éléments sur cette nouvelle faille par mail puis par téléphone, mais ses interlocuteurs n'ont montré aucune appétence à lui fournir ce sésame. À leurs yeux, apparement, le fait qu'il se soit tourné vers la presse pour révéler la précédente faille sur HomeKit le disqualifie à participer à ces programmes où la discrétion est de mise jusqu'à ce que le correctif du problème soit disponible.

À ceci près que dans le cas d'HomeKit, c'est devant l'absence d'échange de l'équipe sécurité, et alors que les premiers correctifs effectués discrètement ne faisaient qu'aggraver les choses, que Khaos Tian s'est tourné vers l'une de ses connaissances chez 9to5mac. Face à la perspective d'une révélation des problèmes encore existants, Apple a alors accéléré le mouvement.

Comme dirait Phil Schiller, c'est une « mauvaise semaine », mais ces semaines qui en ce moment se suivent et se ressemblent.

Catégories: 

Les derniers dossiers

Ailleurs sur le Web


223 Commentaires Signaler un abus dans les commentaires

avatar Upsilona 25/12/2017 - 22:54 via iGeneration pour iOS (edité)

C’est étonnant pour Apple ces failles de sécurité à répétition ... Je travaille parfois sur des protocoles similaires à celui mis en jeu ici, je ne comprend pas comment on peut passer à côté de ces problèmes, d’autant plus quand on voit le niveau de sécurité qu’App’e met en œuvre par ailleurs, par example avec le secure boot sur l’iMac Pro

avatar MarcMame 26/12/2017 - 09:44 via iGeneration pour iOS

@Upsilona

"quand on voit le niveau de sécurité qu’App’e met en œuvre par ailleurs, par example avec le secure boot sur l’iMac Pro"
-------------
Rien ne dit que le secure boot n'est pas bourré de failles que l'on va découvrir au fil des mois.

avatar jazz678 26/12/2017 - 11:34 via iGeneration pour iOS

@MarcMame

« Rien ne dit que le secure boot n'est pas bourré de failles que l'on va découvrir au fil des mois. »

« Bourré de failles » il ne faut pas exagérer. C’est du pur procès d’intentions. Il y aura des failles comme il y en a toujours eues. Le plus important est est-ce qu’elles seront identifiées et corrigées en temps et en heure.



avatar mimot13 26/12/2017 - 12:40

A mon humble avis, Apple se trouve face à ses propres développements gigantesques, trop rapidement mis en ligne et ce dans beaucoup de domaines d'ios et de MacOS. A vouloir tout faire, vite, trop vite sans véritable contrôle de qualité Apple ne peut que rencontrer des problèmes au fil du temps et ça ne va pas s'améliorer tant que la société ne changera pas cette façon de faire. C'est pas pour demain apparemment..

Les utilisateurs sont protégés pour une bonne part par l'ignorance d'un tas de failles, mais qui finiront un jour ou l'autre par apparaître en faisant quelques dégâts au passage.
Apple travaille dans l'urgence depuis un bon moment et ça c'est pas bon signe.

avatar NerdForever 25/12/2017 - 22:54 via iGeneration pour iOS (edité)

Mince c'était très pratique pour faire des blagues au boulot... sniff

Par contre nous ça marchait en iMessage... j'aurai bien aimé savoir comment faire pour que ça marche en SMS ...

avatar RedMak 25/12/2017 - 22:57 via iGeneration pour iOS

Non mais arretezzzz, l’audit est en cours et pendant ce temps il faut absolument rien changer dans leur façon de faire ..

avatar _Teo_ 25/12/2017 - 23:04 via iGeneration pour iOS

Comme dirait quelqu'un que je connais "c'est du grand n'importe quoi !"
Il serait temps qu'il prenne au sérieux leur propres produits plutôt que d'envoyer les chercheurs de failles se faire voir sous prétexte qu'ils sont "pas gentils"

avatar CNNN 25/12/2017 - 23:14

Du moment que l'iPhone X se vend...
Vraiment Apple me déçoit de plus en plus, en 3 ans ils ont réussi à jeter 20 ans de confiance.

Entre les mesquineries matérielles et pécuniaires, les nombreux bogues, et les failles à répétition...

Apple ne vise plus la perfection, mais plutôt le "m'as tu vu". Dommage car cette entreprise a un énorme savoir faire !

avatar zonzon45 26/12/2017 - 02:03 via iGeneration pour iOS

@CNNN

Le mec qui en a 25 ! Lol

avatar 8enoit 26/12/2017 - 10:14 via iGeneration pour iOS

@CNNN :
Parcourez l’histoire d’Apple. Il y a toujours eu des problèmes, des tensions, des erreurs.
Le « c’était mieux avant » est un réflexe humain classique, ne vou s laissez pas avoir.

Apple cherche la perfection, selon SES propres critères. Souvent on est étonnés, pas d’accord, et même révoltés (moi aussi parfois). Mais de là à dire qu’Apple « c’est fini, ils ont changé »…

avatar mimot13 26/12/2017 - 12:52

@Benoit
Tout à fait exact. Ce n'était "pas vraiment mieux avant" car il y avait aussi moins de possibilités au niveau des softs notamment d'ios et d'OS X.

Cela dit Apple cumule quand même un nombre de soucis anormalement important, plus ou moins gênants pour l'utilisateur et ce depuis un bon bout de temps. Ou alors peut-être que les médias pointent plus ces problèmes aussi..? Phénomène d'amplification ? Les deux sans doute.

avatar Bigdidou 26/12/2017 - 18:51 via iGeneration pour iOS

@CNNN

« Vraiment Apple me déçoit de plus en plus, en 3 ans ils ont réussi à jeter 20 ans de confiance. »

Bof, le problème, c’est qu’Apple ne vaut plus mieux que les autres, c’est ça qui paniquant.
Faut pas oublier les failles monstrueuses d’Android qu’on a vues défiler il y a pas si longtemps, et une bonne partie de la planète, dont ma structure en partie ou totalement paralysée par les ransomwares windows.
Il n’y a pas de moi s qui passe sans qu’on apprenne une vulnérabilité extreme d’objet connectés, de matériel médical, de jouets.
Le jour où les terroristes se mettront vraiment au cyberterrorisme, on va pleurer, et pas qu’un peu.

avatar SolutionsPC 25/12/2017 - 23:23 (edité)

Je commente souvent votre (pauvre) concurrence pour leur signifier tel ou tel manquement dans leur article, pas de vrai contenu, titre racoleur...bref, pour râler en somme!

Vous rédigez ici un article complet, précis et étayé, comme toujours en fait! J’utilise Flipboard et très souvent, encore maintenant, je passe les titres, je tombe sur le vôtre, me dis bof, qui publie? ... Macg.co! Ok, je lis!

Vraiment, un grand merci pour votre sérieux, on comprend très vite que vous n’êtes pas là dans le seul but de vendre de la pub.

Macg.co = qualité 👍🏻

Bonnes fêtes à tous!

avatar malcolmZ07 25/12/2017 - 23:31 via iGeneration pour iOS

Certaines comprennent pas que c'est plus médiatisé chez Apple et que tout leur fait et gestes sont scrutés et relayés.
Ce n'est pas mieux ou pire chez la concurrence , simplement moins médiatisé.
Ils ont corrigé la faille , donc ...
Les "c'est décidé je les quitte" sont d'un ridicule

avatar frankm 26/12/2017 - 08:13 via iGeneration pour iOS

@malcolmZ07

Ce qui est marrant c’est ces hackers qui trouvent la faille la soumettent gentiment à Apple qui les snobe. Il faut la publier à la presse. D’autres trouveront le moyen de la fournir à des gens peu scrupuleux

avatar Bigdidou 26/12/2017 - 18:54 via iGeneration pour iOS

@malcolmZ07

« Ce n'est pas mieux ou pire chez la concurrence »
Non, mais ça l’a été. Je veux pire chez la concurrence ou mieux chez Apple, comme tu veux.
Ce qui est attristant, c’est ce nivellement par le bas.
Ou peut-être que ça n’a jamais été si bien que ça chez Apple, mais qu’on y cherchait moins les failles, j’en sais rien, après tout.

avatar Philbee 26/12/2017 - 00:16

Tim Cook semble avoir d’autres priorités dont celle de transformer Apple en un outil de propagande politique :
https://9to5mac.com/2017/07/21/apple-trump-lobbying-increase-during-q2/

Il serait peut-être temps que cet individu arrête de s'imaginer qu’Apple lui appartient et qu’il peut prendre en otage les clients d’Apple pour assouvir ses convictions idéologiques...surtout quand ceci se fait au détriment de la qualité des produits de la marque !

avatar Alberto8 26/12/2017 - 04:44 via iGeneration pour iOS

@Philbee

Faut arrêter avec ça tous les grands groupes le fond , ça exister avant Tim et ca continuera après lui . 😌

avatar Philbee 27/12/2017 - 20:16

@Alberto8
En admettant que tous les «grands groupes » le fassent, faut-il qu’Apple les imite pour autant ? 🤔

avatar Abd Salam 26/12/2017 - 11:30 via iGeneration pour iOS

@Philbee

Quand Apple fait du vol fiscal légal ; c’est aussi de l’idéologie !

Quand Apple fait de son mieux pour mettre en pratique le libéralisme (sous toutes ses formes) ; c’est de l’idéologie !

Faudrait arrêter avec la novlangue qui consiste à appeler idéologie seulement les idéologies avec lesquelles on n’est pas d’accord !

avatar jazz678 26/12/2017 - 11:54 via iGeneration pour iOS

@Abd Salam

« vol fiscal légal »

Bel exemple de novlangue

avatar Abd Salam 26/12/2017 - 12:45 via iGeneration pour iOS (edité)

@jazz678

Non, description factuelle !

La novlangue en l’occurrence consiste à appeler «optimisation fiscale» le refus de payer ses impôts... en se donnant le rôle de chevalier blanc par dessus le marché !

Militer pour obtenir des lois qui sert son intérêt particulier, plus du lobbying pour obtenir lesdites lois sur mesures... pour contester de payer sa part d’impôts en diabolisant à l’extrême les services publics... juste des faits.

Refuser de payer ses impôts, c’est du vol légaliser ! Et un déni de démocratie en raison du pouvoir politique indu qu’ont obtenu les très riches, pouvoir qui se renforce grâce à l’affaiblissement de l’État, et qui se renforce au fur et à mesure que des interêt particuliers deviennent plus puissants que les États.

Et que dans l’esprit des gens, la souveraineté est entre les mains des grandes multinationales !

avatar Malum 26/12/2017 - 14:53

Evitez d'écrire n'importe quoi. Apple est le premier contributeur au monde. Apple paye en moyenne 19 % d'impôts soit plus que la moyenne des entreprises françaises du CAC40.
Apple ne fait que faire ce que vous faites vous quand l'état Français donne des avantages fiscaux pour tel ou tel métier, une réduction si on change ses fenêtres ou 66 % quand on verse à une association.

De plus à votre différence Apple crée des millions d'emplois dans le monde, fait des investissements annuels de plusieurs milliards de dollars, permet à des dizaines de milliers de développeurs de gagner leur vie.

Vous faites du populisme et non du factuel. Le factuel n'est pas Apple vole le fisc. Le factuel est Apple paye le plus au monde d'impôts et fait ce que les lois fiscales lui autorisent de faire.

De plus du fait que les produits Apples sont plus chers, le différentiel de prix avec des produits similaires entraîne un différentirl de TVA au profit des états pour un même produit. Par ailleurs les Apple Stores sont localisés de fait payent des impôts locaux (taxes), font travailler du personnel local, utilisent des services locaux (fluides, assurances etc.), font travailler les entreprises locales pour la construction des stores etc.

avatar Abd Salam 26/12/2017 - 15:00 via iGeneration pour iOS (edité)

@Malum

Très bon baratin !

(avec mention spéciale pour l’accusation de populisme).

avatar bonnepoire 26/12/2017 - 19:39

Le populisme c’est d’aller dans ton sens. C’est très tendance et complètement stérile...
En gros, continue...

Pages