Fermer le menu

Messages : une nouvelle faille de sécurité et de communication pour Apple

Florian Innocente | | 22:45 |  223

Le système qui permet à l'utilisateur d'un Mac d'envoyer un SMS au travers de son iPhone comportait un méchant bug de sécurité, explique Khaos Tian. Ce dernier s'est fait remarquer ces dernières semaines en mettant à jour une importante faille de sécurité dans HomeKit et en montrant, au passage, que la communication entre l'équipe sécurité d'Apple et ceux qui leur soumettent des bugs n'était pas toujours au niveau des enjeux (lire HomeKit : la sécurité de la maison Apple se fissure).

Rebelote avec cette nouvelle découverte que détaille Khaos Tian. Apple l'a corrigée il y a une semaine mais il exprime à nouveau sa frustration vis-à-vis de ses interlocuteurs chez la Pomme.

Un attaquant (à droite sur le Galaxy) peut envoyer un SMS en se faisant passer pour le propriétaire du compte iCloud associé à l'iPhone (à gauche), voir la vidéo Cliquer pour agrandir

Le bug se situait côté serveur, au niveau d'IDS, l'annuaire qui associe l'identité d'un utilisateur (numéro de téléphone, email) avec son appareil iOS. Khaos Tian a découvert que l'on pouvait se substituer à cette personne et envoyer, en son nom, des SMS à une autre, qui croira leur origine parfaitement légitime :

Vous voyez cette fonction super pratique et magique qui vous permet d'envoyer des SMS sur votre Mac via votre téléphone ? Il s'avère que la partie "Ça fonctionne tout simplement" n'est possible que parce que votre téléphone va traiter n'importe quelle commande lui demandant d'envoyer des SMS à partir du numéro actuel. Et notre assistant personnel bien-aimé, Siri ? C'est aussi un "pantin" qui traite la commande sans vérifier que la commande vient de vous. Les deux daemons [des processus système, ndlr] ne vérifient pas l'origine du message et traitent la requête lorsque IDS la leur transmet.

Normalement, poursuit Khaos Tian, IDS est prévu pour que seul le propriétaire d'un compte iCloud puisse envoyer des SMS via la passerelle du Mac ou par Siri. Cependant, un hacker pouvait expédier un message à IDS contenant — en plus du texte destiné à l'interlocuteur visé — une instruction capable de forcer son envoi comme s'il s'agissait d'un SMS. C'est ainsi le message lui-même qui avait valeur de preuve de sa légitimité au lieu de son expéditeur.

Khaos Tian dit qu'Apple a corrigé cette faiblesse entre le 19 et le 20 décembre. Il en avait fait la découverte les 15 et 16 décembre. Le hacker avait contacté Apple en émettant le désir d'obtenir l'invitation permettant de participer à son programme de récompenses.

Il a communiqué quelques éléments sur cette nouvelle faille par mail puis par téléphone, mais ses interlocuteurs n'ont montré aucune appétence à lui fournir ce sésame. À leurs yeux, apparement, le fait qu'il se soit tourné vers la presse pour révéler la précédente faille sur HomeKit le disqualifie à participer à ces programmes où la discrétion est de mise jusqu'à ce que le correctif du problème soit disponible.

À ceci près que dans le cas d'HomeKit, c'est devant l'absence d'échange de l'équipe sécurité, et alors que les premiers correctifs effectués discrètement ne faisaient qu'aggraver les choses, que Khaos Tian s'est tourné vers l'une de ses connaissances chez 9to5mac. Face à la perspective d'une révélation des problèmes encore existants, Apple a alors accéléré le mouvement.

Comme dirait Phil Schiller, c'est une « mauvaise semaine », mais ces semaines qui en ce moment se suivent et se ressemblent.

Catégories: 

Les derniers dossiers

Ailleurs sur le Web


223 Commentaires Signaler un abus dans les commentaires

avatar Chris66 26/12/2017 - 15:02

@Doctomac

Ce point n'a en effet rien d'affligeant, il est simplement faux.

Apple n'a jamais avancé comme argument au bridage des performances la préservation physique des iPhones. Dire que ceux-ci risquent de partir en fumée est une pure invention de votre part.
Le seul et unique argument avancé par Apple est le fait d'eviter, suite à une charge trop importante du processeur, que la batterie ne soit vidée très rapidement alors qu'elle affiche un niveau encore conséquent (Apple précisé de l'ordre de 15 à 20%) provoquant l'arrêt soudain de l'iPhone.

Quoi qu'il en soit, nous sommes bien là dans une démarche de bridage des performances pour préserver la batterie, et donc la durée d'utilisation de l'iPhone.

Vous voyez, lorsque le dialogue est sensé et sans insultes inutiles, les arguments viennent...

avatar Doctomac 26/12/2017 - 15:23 (edité)

Enfin, des arguments, c’est un grand mot. Par ailleurs, comme votre ami, vous racontez n’importe quoi.

À votre avis, pourquoi le téléphone s’éteint ? C’est le système qui coupe tout pour justement préserver le téléphone.

La réponse officielle d’Apple « Les batteries lithium-ion sont moins aptes à répondre aux pics de demandes d'alimentation en cas de basses températures, de faible charge de la batterie ou de vieillissement avec le temps, ce qui peut entraîner une extinction spontanée de l'appareil afin de protéger ses composants électroniques . »

Donc, au lieu d‘avoir une extinction du téléphone, l’algorithme d’Apple ralentit le proc.

La démarche de bridage comme tu dis a une motivation rationnelle d’Apple. OK Apple a mal communiqué dessus mais la démarche est louable.

Par ailleurs, le niveau de bridage dépend de l’état de la batterie qui dépend d’un utilisateur à un autre car elle dépend des utilisations. Comme je l’ai dit, le ralentissement s’opère par l’algorithme qu’en cas de pic d’activité et pas autrement, contrairement à ce que ton copain raconte.

avatar Chris66 26/12/2017 - 15:50 (edité)

@Doctomac-décidément-bien-toc-toc

Plus de deux messages sans insulte est donc au dessus de vos forces.... on a donc une idée de votre état d'esprit.

De plus, il est louable de citer une source, mais encore faut-il le faire complètement sans ne retenir que le passage qui vous arrange... la suite est donc :

"L'année dernière, nous avons distribué une modification pour l'iPhone 6, l'iPhone 6s et l'iPhone SE pour lisser les pics brutaux, uniquement lorsque cela est nécessaire, pour éviter que, dans ces conditions, l'appareil ne s'éteigne de manière inopinée. Nous avons maintenant étendu cette fonctionnalité à l'iPhone 7 avec iOS 11.2, et prévoyons de l'ajouter à d'autres produits à l'avenir."

Où voyez-vous qu'Apple ne craigne que l'appareil parte en fumée ? La seule chose qu'Apple dit pour justifier ce bridage est d'éviter qu'il ne s'éteigne de manière inopinée. Dont acte.



avatar Doctomac 26/12/2017 - 16:13 via iGeneration pour iOS

Où tu vois des insultes ?

Je t’ai cité la preuve de ce que je dis. En quoi ce que tu cites contredit ce que je dis.

Je t’explique que le téléphone ne s’éteint pas pour le plaisir comme ça. C’est un système pour préserver le téléphone de tout dommage. C’est ce qu’Apple dit, non de dieu, : «  ce qui peut entraîner une extinction spontanée de l'appareil afin de protéger ses composants électroniques ».

Définition du mot Afin : «  Mot invariable indiquant une intention, un but. »

Si tu comprends le français, une extinction spontanée, c’est une extinction inopinée.

Protéger les composants électronique des variations de voltage et de courant mais aussi des risques de surchauffe de la batterie (tu comprendras que tirer sur une batterie vieillissante chauffe).

Et je pense que ce mec m’invitait à raisonner.....

p.s : tu parles d’insultes : « Doctomac-décidément-bien-toc-toc »

avatar Chris66 26/12/2017 - 16:26

@ Doctomac-toc-toc

Oui, vous êtes toc-toc l'ami, car de toute évidence, vous êtes aveuglé par l'attachement inconditionnel à votre marque. Vous êtes capable de répondre sans fin sur des détails pour défendre la sainte pomme. Chacun son truc, mais, sans insulte aucune (savez-vous faire la différence), vous êtes toc-toc de votre addiction.

Pour revenir sur le fond, nous progressons tout de même, et Apple bride bel et bien les vieux iPhone pour éviter qu'ils ne s'éteignent inopinément lors de pics d'utilisation. Rien de bien grave en fait, c'est juste un fait. Pourquoi inventer autre chose ?

avatar Doctomac 26/12/2017 - 16:45 (edité)

Dans votre cas, vous n’êtes pas toc-toc, vous êtes idiot et d’une mauvaise foi incommensurable.

Ce n’est pas une obsession de défendre Apple, c’est l’obsession d’être précis. Ce n’est pas un détail, c’est la cause même de l’existence de l’algorithme.

Les téléphones s’éteignent par un dispositif de sécurité pour ne pas l'endommager en cas de pic d’activité avec de vieille batterie. Au lieu d’avoir des extinctions, Apple a justement pondu cet algorithme pour réduire la fréquence du proc et diminuer la contrainte sur la batterie et donc ne plus avoir les conditions d’extinction inopinée.

Encore une fois, Apple le dit " ce qui peut entraîner une extinction spontanée de l'appareil afin de protéger ses composants électroniques »

avatar Chris66 26/12/2017 - 16:56

@Doctomac-Chevalier-Servant

Votre addiction vous fait perdre votre sans froid mon ami, reprenez-vous...

Vous savez, Apple est, je crois, la première entreprise capitalistique en bourse. Cette société est assise sur des milliards de cash-flow disponible. Elle affiche des bénéfices insolants et, d'après les analystes puisqu'elle communicate au compte goutte sur le sujet, cela n'est pas prêt de s'arrêter puisque le dernier iPhone X semble connaître un très beau succès commercial.

Non, vraiment, je vous assure, vous pouvez laisser tomber l'attirail du chevalier servant, la sainte pomme n'a pas besoin de vous pour réussir et faire ses choix, fussent-ils de brider leur matériel.

avatar Doctomac 26/12/2017 - 16:59

Ah il change de sujet. C’est quoi le rapport avec notre discussion. Vous faites preuve d’un grand raisonnement, en effet.

avatar Chris66 26/12/2017 - 17:03

@ Doctmac

Le sujet est au contraire le même depuis le début, mais cela semble vous échapper.

avatar Doctomac 26/12/2017 - 17:04

Non pas du tout, c’est juste votre échappatoire.

avatar Chris66 26/12/2017 - 17:38 (edité)

Relisez le fil... vous allez bien vous marrer ! Enjoy !

avatar Doctomac 26/12/2017 - 17:41 (edité)

Ce qui me fait marrer, c’est ta déperdition.

avatar Chris66 26/12/2017 - 18:07

Mon échappatoire...
Ma déperdition...
Bientôt mon agonie ?
Cher Doctomac, vos propos montrent ce qui motive votre participation ici: défendre à votre corps défendant la sainte pomme (qui n'en a nullement besoin, je vous l'ai déjà dit) mais aucunement de participer à un débat objectif. Vous aimez juger l'autre en rapport avec son acceptation à votre propre référentiel qui semble être une dévotion totale à Apple. Pourquoi pas finalement.
Je vous souhaite d'être heureux, et s'il y avait le moindre doute dans votre esprit pa rapport à ces propos, je vous assure d'être tout à fait sincère.

avatar Doctomac 26/12/2017 - 18:23

Oui tout à fait. Ne sachant pas « raisonner » et « argumenter » sur le sujet qui nous concerne, vous avez changé de sujet.

Encore une fois, ce n’est pas non plus une question de défendre Apple mais de discuter sur des sujets en étant précis. Ce dont vous êtes visiblement incapable.

Le problème est que la réalité des faits vous dérangent car vous êtes simplement noyé dans vos fantasmes du méchant Apple qui flouerait insidieusement ses gentils utilisateurs. De la caricature grotesque et démagogique.

Quand à la dévotion, si vous me lisiez, j’ai été critique envers Apple sur la situation du MacPro et les problèmes de finition software.

Mais comme tout haineux qui se respecte, vous ne voyez que ce qui vous arrange. Tout haineux qui se respecte, dès qu’on rentre dans les sujets, il n’y a plus personne et on a droit au Classico : on est fanatique et bla-bla et bla-bla.

avatar Chris66 26/12/2017 - 18:22 (edité)

CQFD

avatar DarthThauron 27/12/2017 - 10:44 via iGeneration pour iOS

@Doctomac

L'extinction inopinée peut être due à une puissance délivrée insuffisante de la batterie. Cela peut conduire à une absence d'alimentation d'une partie de la carte mère ou d'un composant vital. Ce qui logiquement coupe le processeur ou le plante. Y voir un mécanisme de sécurité et une forme de fumage de cacahuètes.

avatar sachouba 26/12/2017 - 16:45

@Doctomac :
"À votre avis, pourquoi le téléphone s’éteint ? C’est le système qui coupe tout pour justement préserver le téléphone."

Non, rien à voir, c'est la batterie qui est incapable de fournir la puissance suffisante pour alimenter le processeur.
Je ne suis pas spécialiste en batteries (j'en connais plus en électrotechnique), mais il semble que la tension aux bornes des batteries usagées des iPhone chute quand le courant fourni augmente, de telle manière qu'elle passe sous le seuil correspondant à une batterie vide. D'où l'extinction, le système considérant la batterie vide dès que le CPU nécessite un courant considérable.
Si Apple utilisait des batteries dont la résistance interne n'augmentait pas aussi rapidement avec les cycles de charge, ce problème n'existerait pas (et il n'existe pas de manière aussi répandue chez la concurrence, d'ailleurs...).

L'extinction n'est absolument pas une mesure de sécurité.

avatar Doctomac 26/12/2017 - 17:07 (edité)

Si tout à fait, les deux sont liés et Apple le mentionne, non d’une pipe. Je n’invente rien.

Dans un fonctionnement normal, lorsque le sytème détecte que la batterie n’a plus d’énergie pour continuer d’opérer, le système entame un processus de clean shutdown de tous les composants et l’utilisateur voit le téléphone s’éteindre normalement. Dans le cas d’une batterie usée, il y a donc un risque de perte de charge soudaine et totale lors de pique de demande. Cela entraîne un shutdown soudain, qui, répété, peut endommager l’électronique à cause des fluctuations de voltage et de courant précédent la perte d’énergie.

avatar sachouba 26/12/2017 - 17:39

@Doctomac :
"Cela entraîne un shutdown soudain, qui, répété, peut endommager l’électronique à cause des fluctuations de voltage et de courant précédent la perte d’énergie."

D'où viennent ces "fluctuations" ? Tu as une source ?
Tu es spécialisé dans les batteries, l'électronique ou même l'électrotechnique ?

Il n'y a pas de fluctuations, à ma connaissance, seulement une baisse de tension. Une baisse de tension ne provoque pas de dommages aux composants électroniques (sauf cas très particuliers, qu'on ne retrouve pas dans un smartphone), et tous les circuits électroniques sont de toute façon protégés contre les changements de tension dans un smartphone.

Il n'y a PAS de danger, juste des batteries mal dimensionnées par Apple.

avatar Doctomac 26/12/2017 - 18:05

Non je ne suis pas spécialiste (toi non plus) mais je lis (contrairement aux haineux) pour essayer de comprendre. Les fluctuations dans une vieille batterie sont similaires à ce que l’on peut observer en cas d’utilisation par grand froid.

Et c’est Apple qui le dit, tu vois les mecs qui doivent s’y connaitre un peu :

«  When an iPhone’s processor makes a big current draw from a flagging battery, the battery can deliver the current in spikes that can potentially damage the phone’s electronics »

Dans ce cas, le système éteint alors inopinément le téléphone pour préserver l’électronique des fluctuations d’énergie.

Il y a donc EFFECTIVEMENT un danger et ce n’est pas un problème de dimensionnement de batterie. Ces extinctions inopinées existent chez TOUT le monde.

avatar sachouba 26/12/2017 - 19:42

@Doctomac :
"Non je ne suis pas spécialiste (toi non plus)"
Je ne suis pas spécialiste, je suis ingénieur en électrotechnique, électronique et informatique, et j'ai l'équivalent d'un Bac+2/3 en chimie. J'ai quelques bases que tu n'as visiblement pas.

"Et c’est Apple qui le dit, tu vois les mecs qui doivent s’y connaitre un peu : [...]"
Ne me prends pas pour un gland, c'est Reuters qui a écrit cette phase, pas Apple. Donc des journalistes, pas des ingénieurs en batteries. Je n'ai pas retrouvé de sources décrivant un comportement similaire sur une batterie Li-ion.
Je ne dis pas que c'est faux (même si ça me semble peu plausible), je dis qu'il me faut une preuve. Comme dans toute démonstration scientifique qui ne soit pas triviale...

avatar Doctomac 26/12/2017 - 20:39

Je ne suis pas passé par Reuters et les propos sont d’Apple, Reuters n’a rien inventé.

«  When an iPhone’s processor makes a big current draw from a flagging battery, the battery can deliver the current in spikes that can potentially damage the phone’s electronics, Apple said. »

Donc non, ce ne sont pas des journalistes, évidemment. Mais quelle mauvaise foi.

D’ailleurs, ça peut se comprendre qu’un batterie en moindre capacité donne des fluctuations de courant en cas de charge intense. Ou sinon, ta carrière d’ingénieur va dans le mur.

Ok, c’est ce que je dis, tu n’es absolument pas spécialisé en batterie. Ton bac 2/3 en chimie te permet de comprendre le fonctionnement d’une simple pile, je te rassure je sais aussi comment ça marche.

La preuve scientifique c’est Apple et un peu de bon sens.

avatar sachouba 27/12/2017 - 02:52 (edité)

@Doctomac :
"Donc non, ce ne sont pas des journalistes, évidemment. Mais quelle mauvaise foi."

Je n'ai toujours pas trouvé de publication scientifique sur le sujet. Tu comptes m'en fournir une ? Rien sur IEEE, rien sur ResearchGate, rien sur Battery University...

Si cette particularité des vieilles batteries existe et a des conséquences sur le fonctionnement d'un appareil, comme l'affirme Reuters (toujours pas de source directe d'une ingénieur Apple où que ce soit, et non, ce n'est pas écrit "Apple said" dans l'article de Reuters), elle est forcément documentée dans une thèse, dans un article de chercheur, dans une publication scientifique quelconque...

"D’ailleurs, ça peut se comprendre qu’un batterie en moindre capacité donne des fluctuations de courant en cas de charge intense."

Ah oui ? Ça s'intuite comment, qu'une batterie en fin de vie fournit des "pics" de courant – expliqué assez simplement pour qu'un simple ingénieur puisse comprendre ?

"Ton bac 2/3 en chimie te permet de comprendre le fonctionnement d’une simple pile"
Ça, j'ai appris en terminale... Le qualitatif, ce n'est pas sorcier. C'est le quantitatif qui complique les choses.

avatar Doctomac 27/12/2017 - 10:39

@sachouba,

Je n’ai rien à te fournir. Déjà faire sa Biblio sur Researgate témoigne que tu n’y connais pas grand chose à la science (en tant que pseudo ’ingénieur, ce n’est pas étonnant).

Par ailleurs, cette donnée n’est peut-être pas publiée (si tu savais le nombre d’observations scientifiques qui ne sont pas publiées...) mais peu importe, ce n’est absolument pas le sujet. Car Apple, c’est à dire cette société qui a sûrement des gens qualifiés sur le sujet, le dit explicitement. Ce n’est pas une interprétation de Reuters (encore une fois), mais c'est la conversation par mail entre Apple et le site qui est rapportée. Ce n’est pas Reuters qui comme ça nous dit que dans le cas de vieille batterie, il peut y avoir des fluctuations de courant lors de forte activité. Je n’ai jamais vu un pseudo-ingénieur avec autant de mauvaise foi.

"Ah oui ? Ça s'intuite comment, qu'une batterie en fin de vie fournit des "pics" de courant – expliqué assez simplement pour qu'un simple ingénieur puisse comprendre « 

Je ne voudrais pas être la boîte pour laquelle tu travailles. Elle fournit des pic de courant en cas de montée en charge importante du proc, pas tout le temps. Déjà, l’ingénieur, essaye de comprendre le contexte. On peut comprendre qu’en cas de montée en charge brusque du proc. une batterie vieillissante fournit l’énergie demandée en pic et pas de manière continue. Après les causes techniques, je ne les connais pas, je ne suis pas spécialiste. Mais normalement, si tu n’étais pas haineux est rempli de mauvaise foi, avec tes compétences tu devrais nourrir de manière intéressante le débat en nous donnant ces explications.

"Ça, j'ai appris en terminale... Le qualitatif, ce n'est pas sorcier. C'est le quantitatif qui complique les choses. »

Oh tu sais, au vu de la qualité de l’enseignement actuelle du Lycée, on passe notre temps à tout revoir durant les premières années de la faculté.

avatar sachouba 27/12/2017 - 11:28

@Doctomac :
"Je n’ai rien à te fournir"
Si, tu as à me fournir la preuve des arguments que tu avances. C'est un principe scientifique de base.

"faire sa Biblio sur Researgate témoigne que tu n’y connais pas grand chose à la science (en tant que pseudo ’ingénieur, ce n’est pas étonnant)."
Mais n'hésite pas à me fournir une publication d'un autre site, si ça te chante ! J'attends juste une publication, pas un site particulier. 🙂
Ensuite, quelle est donc ta formation, pour mépriser comme tu le fais les ingénieurs ? Tu es spécialisé dans quel domaine, rappelle-moi ?

"Elle fournit des pic de courant en cas de montée en charge importante du proc, pas tout le temps."
Dans ce cas, il est vrai que n'importe quelle batterie, peu importe son âge, doit fournir des pics de courants. Mais ce n'est absolument pas ce qu'affirme ta citation, qui semble prétendre qu'une vieille batterie va fournir un courant sous forme de pics à charge constante.

"On peut comprendre qu’en cas de montée en charge brusque du proc. une batterie vieillissante fournit l’énergie demandée en pic et pas de manière continue."
Oui, comme n'importe quelle batterie de smartphone, dès la sortie d'usine. Le comportement du processeur ne change pas en fonction du temps, il requiert toujours le même courant pour fonctionner.

"Après les causes techniques, je ne les connais pas, je ne suis pas spécialiste."
Oh mince, c'est vraiment dommage. Depuis le début de l'explication, on avait pourtant l'impression de lire un vrai spécialiste !

"avec tes compétences tu devrais nourrir de manière intéressante le débat en nous donnant ces explications."
Je le ferais avec plaisir, si je trouvais une publication décrivant le phénomène que tu décris. Phénomène qui n'existe visiblement pas.
Je t'ai donné une autre explication, compatible avec les déclarations directes d'Apple, et bien documentée, mais tu te bornes à écrire que Reuters est spécialiste en batteries et n'a pas pu faire d'erreur, jusqu'à modifier des citations pour faire croire qu'Apple avait déclaré certaines choses.

"Oh tu sais, au vu de la qualité de l’enseignement actuelle du Lycée, on passe notre temps à tout revoir durant les premières années de la faculté.
Tout le monde n'a pas fait de faculté, certains ont choisi des filières plus exigeantes, pour apprendre les sciences.

Pages