Fermer le menu

Messages : une nouvelle faille de sécurité et de communication pour Apple

Florian Innocente | | 22:45 |  223

Le système qui permet à l'utilisateur d'un Mac d'envoyer un SMS au travers de son iPhone comportait un méchant bug de sécurité, explique Khaos Tian. Ce dernier s'est fait remarquer ces dernières semaines en mettant à jour une importante faille de sécurité dans HomeKit et en montrant, au passage, que la communication entre l'équipe sécurité d'Apple et ceux qui leur soumettent des bugs n'était pas toujours au niveau des enjeux (lire HomeKit : la sécurité de la maison Apple se fissure).

Rebelote avec cette nouvelle découverte que détaille Khaos Tian. Apple l'a corrigée il y a une semaine mais il exprime à nouveau sa frustration vis-à-vis de ses interlocuteurs chez la Pomme.

Un attaquant (à droite sur le Galaxy) peut envoyer un SMS en se faisant passer pour le propriétaire du compte iCloud associé à l'iPhone (à gauche), voir la vidéo Cliquer pour agrandir

Le bug se situait côté serveur, au niveau d'IDS, l'annuaire qui associe l'identité d'un utilisateur (numéro de téléphone, email) avec son appareil iOS. Khaos Tian a découvert que l'on pouvait se substituer à cette personne et envoyer, en son nom, des SMS à une autre, qui croira leur origine parfaitement légitime :

Vous voyez cette fonction super pratique et magique qui vous permet d'envoyer des SMS sur votre Mac via votre téléphone ? Il s'avère que la partie "Ça fonctionne tout simplement" n'est possible que parce que votre téléphone va traiter n'importe quelle commande lui demandant d'envoyer des SMS à partir du numéro actuel. Et notre assistant personnel bien-aimé, Siri ? C'est aussi un "pantin" qui traite la commande sans vérifier que la commande vient de vous. Les deux daemons [des processus système, ndlr] ne vérifient pas l'origine du message et traitent la requête lorsque IDS la leur transmet.

Normalement, poursuit Khaos Tian, IDS est prévu pour que seul le propriétaire d'un compte iCloud puisse envoyer des SMS via la passerelle du Mac ou par Siri. Cependant, un hacker pouvait expédier un message à IDS contenant — en plus du texte destiné à l'interlocuteur visé — une instruction capable de forcer son envoi comme s'il s'agissait d'un SMS. C'est ainsi le message lui-même qui avait valeur de preuve de sa légitimité au lieu de son expéditeur.

Khaos Tian dit qu'Apple a corrigé cette faiblesse entre le 19 et le 20 décembre. Il en avait fait la découverte les 15 et 16 décembre. Le hacker avait contacté Apple en émettant le désir d'obtenir l'invitation permettant de participer à son programme de récompenses.

Il a communiqué quelques éléments sur cette nouvelle faille par mail puis par téléphone, mais ses interlocuteurs n'ont montré aucune appétence à lui fournir ce sésame. À leurs yeux, apparement, le fait qu'il se soit tourné vers la presse pour révéler la précédente faille sur HomeKit le disqualifie à participer à ces programmes où la discrétion est de mise jusqu'à ce que le correctif du problème soit disponible.

À ceci près que dans le cas d'HomeKit, c'est devant l'absence d'échange de l'équipe sécurité, et alors que les premiers correctifs effectués discrètement ne faisaient qu'aggraver les choses, que Khaos Tian s'est tourné vers l'une de ses connaissances chez 9to5mac. Face à la perspective d'une révélation des problèmes encore existants, Apple a alors accéléré le mouvement.

Comme dirait Phil Schiller, c'est une « mauvaise semaine », mais ces semaines qui en ce moment se suivent et se ressemblent.

Catégories: 

Les derniers dossiers

Ailleurs sur le Web


223 Commentaires Signaler un abus dans les commentaires

avatar fte 27/12/2017 - 02:38 via iGeneration pour iOS

@ckermo80Dqy

Je ne suis pas surpris.

avatar deltiox 26/12/2017 - 09:12 via iGeneration pour iOS

La réaction des employés d’Apple ressemble à celle d’un enfant boudeur après s’être fait prendre les doigts dans le pot de confiture

C’est puéril de ne pas inviter ce hacker à découvrir des failles et leur transmettre puis le récompenser

Comme s’il s’agissait d’un club de bons amis

Ce genre de comportement puéril va juste inciter des « talents » à exploiter autrement leurs compétences ce qui est mauvais pour Apple et pour tous ses clients

avatar occam 26/12/2017 - 12:14 via iGeneration pour iOS

@deltiox

Culture d'entreprise.
J'observe ce comportement depuis trente ans.



avatar Pobla Picossa 26/12/2017 - 09:18

Mouais.
Allez, un petit commentaire perso pour Noël...
Pour ceux qui hésitent entre Android et IOS, en général, il y a quelques points qui aident à faire le choix :
-Un iPhone coûte plus cher, mais dure plus longtemps, on peut facilement le garder 4 ou 5 ans.
...Pas de bol, on a appris qu'Apple bride les iPhone quand la batterie faiblit. Donc, à moins de changer la batterie d'un appareil scellé comme un coffre-fort, on se retrouve avec une bouse au bout de deux ans. Comme Android ? Oui. Mais plus cher.

-Un iPhone, c'est plus sûr.
...Pas de bol, on apprend que les failles de sécurité ne sont pas bouchées, ou alors avec du retard et de la mauvaise grâce. Comme Android ? Oui. Mais plus cher.

-IOS, c'est plus joli.
C'est vrai. Et les apps aussi sont plus jolies. Est-ce que ça justifie les deux points ci-dessus, plus les limitations imposées par Apple sur IOS comparées à Android ? (notifications indigentes, pas de multi-fenêtres, pas d'always-on display, pas de widgets, et la liste continue et est très longue)

Je ne sais pas. Ayant depuis toujours alterné des iPhones et des Android, je ne suis ni anti-Apple ni anti-Android. Disons que mon iPhone X est sympa, sans plus. Et que le Note 8 me fait de l'oeil, et que je ne vois plus trop quelles excuses employer pour rester définitivement collé à Apple.

Comme le disait le youtubeur Iphonedo, l'iPhone X vient combler un besoin. Mais le besoin est plus celui d'Apple que de ses clients. Imaginez qu'il ne soit pas sorti : on aurait assisté à une chute historique de la marque.
Conclusion : bien qu'aimant les produits de la pomme depuis des décennies, je me retrouve avec un léger malaise, et je sais que je ne suis pas le seul...

Ah oui, aussi, je radote, mais il faut que je le répète : faites attention si vous voulez acheter un iPhone X. C'est un superbe appareil qui vous en met plein la vue dans la boutique, mais au bout de quelques jours vous vous rendez compte que son écran est vraiment petit. Si vous aimez voir des photos (je ne parle même pas des vidéos), vous allez vous sentir vraiment à l'étroit.

avatar Katsini 26/12/2017 - 09:31 via iGeneration pour iOS

@Pobla Picossa

Bravo pour cette analyse pertinente et raisonnée.
Je partage pleinement le propos.

avatar Malum 26/12/2017 - 15:10

Pur sophisme et non pertinent car prémisses fausses et raisonnement biaisé, comparaisons faussées.

avatar reborn 26/12/2017 - 09:46 via iGeneration pour iOS (edité)

@Pobla Picossa

J’ai arrêter de lire à « scellé comme un coffre fort »

N’achète pas un samsung alors hein (ou autre android tout collé.)

avatar Pobla Picossa 26/12/2017 - 10:43 (edité)

@reborn

Si tu avais continué la lecture, tu aurais remarqué la phrase récurrente "Comme Android".

Joyeux Noël.

avatar fte 27/12/2017 - 02:14 via iGeneration pour iOS

@reborn

"J’ai arrêter de lire"

C’est dommage. (Pour toi.) Il y a peu de message de valeur, et tu ne les lis pas jusqu’au bout...

avatar tomC92 26/12/2017 - 09:58 via iGeneration pour iOS

@Pobla Picossa

Tu n’es pas anti apple mais tu les détestes quand même. 🤔

avatar debione 26/12/2017 - 10:31

Il relève à mon avis et à juste titre certaine chose... Cela fait 20 ans que je suis sur du matos Apple et j'ai toujours été d'accord de payer plus cher. Pourquoi payer plus cher? Pour du matos qui dure dans le temps et parce que j'en suis depuis toujours dans l'image et la musique.
En 2006 quand je m'achète un mbp, je n'ai même pas regardé chez la concurrence, tant les arguments en faveurs dès portable Apple étaient, vu mes besoins, évident.
Aujourd'hui, si je devais remplacer mon mbp, ben je serais bien embêté... Le seul et unique truc qui pourrait me faire racheter un mac est Logic... Pour tout le reste, j'ai l'impression ( c'est une impression personnelle, donc sujette à caution) que je me ferais entuber bien profond... ma question est: est ce que Logic vaut à lui seul les 1000 boules supplémentaires qui correspond entre mon mbp 15 de 2015 et celui actuel?

Bon je me reposerai la question en 2020, à moins qu'Apple se décide à brider celui ci sous prétexte que la batterie serait usée...

avatar Pobla Picossa 26/12/2017 - 10:42 (edité)

@tomC92

J'ai actuellement : un iMac 27, un MacBook 12, les deux modèles (grand et petit) d'iPad pro, un stylus, une Apple Watch Nike, des Airpods, un iPhone X.
Et je suis équipé en Apple depuis 30 ans. Oui, 30.

Si c'est ça que tu appelles "détester"...

En smartphones, j'ai eu un iPhone 3GS, un Samsung Note 2, un iPhone 4, un Samsung Note 3, un iPhone 5, un Samsung Note 4, un iPhone 6 Plus, un iPhone 7, un Samsung 7 Edge, et maintenant un iPhone X.
Donc je parle à partir de mon vécu, et de ce que j'observe comme utilisateur.

Je ne déteste personne. Joyeux Noël.

avatar tomC92 26/12/2017 - 10:51 via iGeneration pour iOS

@Pobla Picossa

Calmos Ramos

avatar Pobla Picossa 26/12/2017 - 10:57 (edité)

@tomC92

Relax Max, c'est Noël ☮️

avatar fte 27/12/2017 - 02:19 via iGeneration pour iOS

@tomC92

Tu n’as pas lu le message n’est-ce pas ?

avatar Doctomac 26/12/2017 - 12:33

@Pobla Picossa,

Apple ne bride pas les performances quand la batterie devient faiblarde en toute circonstance. Pour un soucis de préserver l’électronique, d’empêcher que le téléphone parte en fumée, Apple ralentit les perf. en cas de pic d’activité. Encore un qui n’a rien compris.

Par ailleurs, iOS n’est pas simplement plus beau mais plus rapide, plus intuitif, plus logique, plus ce que tu veux.

Ensuite, notre ami passent dans une diatribe habituelle et haineuse. oui un iPhone est plus sûr même si des failles peuvent être découvertes (macOS est plus sûr que Windows et des failles existent encore) ; oui il y a des widgets dans iOS (pas comme Android....justement pour des raisons de sécurité) : non les notifications ne sont pas indigentes ou sinon on m’explique pourquoi (c’est ailleurs assez marrant quand on sait que Google a repris le design de l’apparition des notifications de iOS dans Nougat) : oui pas de multi-fenêtres, mais j’imagine que c’est un choix d’Apple de ne pas inclure ce type de fonction dans des écrans à la taille encore limité.

Bref, un ramassis de connerie d’un haineux qui n’a as encore eu de cadeaux Apple pour son Noël.

Et le bougre, il rêve d’avoir pas mal de produits Apple, au vu de sa lite de Noël : «  iMac 27, un MacBook 12, les deux modèles (grand et petit) d'iPad pro, un stylus, une Apple Watch Nike, des Airpods, un iPhone X. »

avatar Pobla Picossa 26/12/2017 - 14:16 (edité)

@Doctomac

Eh ben dis-moi, j'ai l'impression que le boudin blanc t'est resté sur l'estomac.

Donc, tu ne m'accordes pas le droit d'exprimer mon avis, de l'exprimer gentiment, calmement, sans haine ?

Pour toi, mon avis c'est le "ramassis de conneries d'un haineux" ? Eh, mec, respire un coup, tu vas nous faire un AVC.

Je pourrais te répondre point par point mais ça n'en vaut pas la peine (J'ai juste éclaté de rire concernant les notifications en particulier, sur IOS c'est vraiment le gros gag par rapport à Android). C'est mon avis, d'utilisateur, des deux systèmes. Apple a accompagné au quotidien les 30 dernières années de ma vie, je lui en serai éternellement reconnaissant, mais ce n'est pas une raison pour ne pas garder mon libre arbitre.

Quant à ma liste de Noël, ce n'est un fantasme que pour toi. C'est mon matos, celui que j'utilise au quotidien, et heureusement qu'il est là. Je n'en tire pas de fierté particulière.
Tiens, je l'ai pris en photo rien que pour toi :
https://image.noelshack.com/fichiers/2017/52/2/1514294129-20171226-16505...

Sur ce, je te laisse, mais comme c'est Noël, je te souhaite paix et amour, brother.

avatar Doctomac 26/12/2017 - 14:24

Non non, tu peux raconter ce que tu veux et les conneries que tu veux, autant que tu veux mais par contre elles ne vont pas devenir vraies pour autant.

Oui les notifications c’est le gros gag et bla-bla, sauf qu’il y a un fait : dans Nougat, Google a repris aux pixels près la manière et d’interagir avec les nouvelles notifications. C’est que les notifications de iOS n’étaient pas si pourries que ça. Indeed, ne prends pas le temps de répondre.

Ensuite pour l’historique Apple,les plus haineux m’ont servi les plus grandes convictions et de plus belles photos.....

Pour finir, si Apple est si mauvais, bien revends tes produits «  fantasmés" et achète du PC, du Samsung, ce que tu veux......mais évite de raconter des conneries. Apple n’oblige personne à rester dans sa bergerie. Au contraire, ils ont toujours été dans une position « pas content, il y a des produits ailleurs ».

avatar Pobla Picossa 26/12/2017 - 14:40 (edité)

@Doctomac

Décidément, c'est un mélange de constipation et de vomi. Pas beau à voir.

Puisque tu es un doc, tu devrais t'auto-consulter. N'oublie pas de te nettoyer la bile, je suis sûr que ta langue est chargée.

Bye-bye, haineux.

avatar Doctomac 26/12/2017 - 16:03

Salut Monsieur fluide.

avatar Chris66 26/12/2017 - 14:08

@Doctomac-toc-toc

Votre degueuli de haine n'a rien à envier à celle supposée de Pobla Picossa.
Relisez-vous à froid cher ami, c'est affligeant.

avatar Doctomac 26/12/2017 - 14:25

Merci pour tes arguments très affûtés !

avatar Chris66 26/12/2017 - 14:25

@ Doctomac

Argument, définition : Raisonnement, preuve destinés à appuyer une affirmation.

Commencez donc par proposer un raisonnement étayé au lieu d'insulter gratuitement les autres et vous verrez, les arguments suivront.

avatar Doctomac 26/12/2017 - 14:30

C’est bien, vous avez de supes conseils. Mais il faudrait se l’appliquer. Car mis à part du «  le méchant gnagnagna » ou simplement me répondre que je n’ai pas d’argument à ma critique que vous n’avez pas d'argument, je ne vois pas non plus l’once d’un raisonnement.

Allez, vous pouvez y arriver.

avatar Doctomac 26/12/2017 - 14:33

Par exemple, j’ai écrit :

«  Apple ne bride pas les performances quand la batterie devient faiblarde en toute circonstance. Pour un soucis de préserver l’électronique, d’empêcher que le téléphone parte en fumée, Apple ralentit les perf. en cas de pic d’activité. Encore un qui n’a rien compris. »

Bon, vous considérez que ce ne sont pas des arguments mais en quoi ce que j’écris là est affligeant ?

Pages