Fermer le menu
 

Messages : une nouvelle faille de sécurité et de communication pour Apple

Florian Innocente | | 22:45 |  223

Le système qui permet à l'utilisateur d'un Mac d'envoyer un SMS au travers de son iPhone comportait un méchant bug de sécurité, explique Khaos Tian. Ce dernier s'est fait remarquer ces dernières semaines en mettant à jour une importante faille de sécurité dans HomeKit et en montrant, au passage, que la communication entre l'équipe sécurité d'Apple et ceux qui leur soumettent des bugs n'était pas toujours au niveau des enjeux (lire HomeKit : la sécurité de la maison Apple se fissure).

Rebelote avec cette nouvelle découverte que détaille Khaos Tian. Apple l'a corrigée il y a une semaine mais il exprime à nouveau sa frustration vis-à-vis de ses interlocuteurs chez la Pomme.

Un attaquant (à droite sur le Galaxy) peut envoyer un SMS en se faisant passer pour le propriétaire du compte iCloud associé à l'iPhone (à gauche), voir la vidéo Cliquer pour agrandir

Le bug se situait côté serveur, au niveau d'IDS, l'annuaire qui associe l'identité d'un utilisateur (numéro de téléphone, email) avec son appareil iOS. Khaos Tian a découvert que l'on pouvait se substituer à cette personne et envoyer, en son nom, des SMS à une autre, qui croira leur origine parfaitement légitime :

Vous voyez cette fonction super pratique et magique qui vous permet d'envoyer des SMS sur votre Mac via votre téléphone ? Il s'avère que la partie "Ça fonctionne tout simplement" n'est possible que parce que votre téléphone va traiter n'importe quelle commande lui demandant d'envoyer des SMS à partir du numéro actuel. Et notre assistant personnel bien-aimé, Siri ? C'est aussi un "pantin" qui traite la commande sans vérifier que la commande vient de vous. Les deux daemons [des processus système, ndlr] ne vérifient pas l'origine du message et traitent la requête lorsque IDS la leur transmet.

Normalement, poursuit Khaos Tian, IDS est prévu pour que seul le propriétaire d'un compte iCloud puisse envoyer des SMS via la passerelle du Mac ou par Siri. Cependant, un hacker pouvait expédier un message à IDS contenant — en plus du texte destiné à l'interlocuteur visé — une instruction capable de forcer son envoi comme s'il s'agissait d'un SMS. C'est ainsi le message lui-même qui avait valeur de preuve de sa légitimité au lieu de son expéditeur.

Khaos Tian dit qu'Apple a corrigé cette faiblesse entre le 19 et le 20 décembre. Il en avait fait la découverte les 15 et 16 décembre. Le hacker avait contacté Apple en émettant le désir d'obtenir l'invitation permettant de participer à son programme de récompenses.

Il a communiqué quelques éléments sur cette nouvelle faille par mail puis par téléphone, mais ses interlocuteurs n'ont montré aucune appétence à lui fournir ce sésame. À leurs yeux, apparement, le fait qu'il se soit tourné vers la presse pour révéler la précédente faille sur HomeKit le disqualifie à participer à ces programmes où la discrétion est de mise jusqu'à ce que le correctif du problème soit disponible.

À ceci près que dans le cas d'HomeKit, c'est devant l'absence d'échange de l'équipe sécurité, et alors que les premiers correctifs effectués discrètement ne faisaient qu'aggraver les choses, que Khaos Tian s'est tourné vers l'une de ses connaissances chez 9to5mac. Face à la perspective d'une révélation des problèmes encore existants, Apple a alors accéléré le mouvement.

Comme dirait Phil Schiller, c'est une « mauvaise semaine », mais ces semaines qui en ce moment se suivent et se ressemblent.

Catégories: 

Les derniers dossiers

Ailleurs sur le Web


223 Commentaires Signaler un abus dans les commentaires

avatar Chris66 27/12/2017 - 15:06

Oh, nom de la Sainte Pomme, non, bien sûr que non ! Tout ce qu'écrivent tous les médias sur Apple ne sont que calomnies et diffamations !
Seule la Sainte Pomme détient la sage parole, et compte sur ses bons disciples cmome Docto-toc-toc pour la diffuser au monde inconscient du bonheur de consommer ses produits qui leur font tant de bien.
Amen.

avatar Doctomac 27/12/2017 - 15:19 via iGeneration pour iOS

@Chris66

Le pauvre perd la boule. Prends ton suppositoire et au lit !

p.s : sinon les arguments, ça vient ?

avatar Chris66 27/12/2017 - 16:12

Bien sûr, je n'ai pas la sainte parole, donc je perd la boule.
Qui veut noyer son chien l'accuse de la rage n'est-ce pas ?
On est tous le fou d'un autre cher Doctomac. D'ailleurs à ce propos, pourquoi n'avez-vous pas choisi Professomac comme pseudo ? Cela aurait eu encore plus de classe !



avatar sachouba 27/12/2017 - 02:53

@Chris66 :
Effectivement, c'est très frustrant de n'avoir jamais en réponse de vrais arguments scientifiques avec les sources (publications) associées.

avatar DarthThauron 27/12/2017 - 10:46 via iGeneration pour iOS

@Doctomac

Croire tout ce que dit apple est digne d'une personne qui défend l'existence du père Noël... Il y a des artifices de com que sort Apple pour couvrir les problèmes. Dormez bien, on a déjà pensé à tout...

avatar Doctomac 27/12/2017 - 11:11

ouhhhh la théorie du complot ! Méchant Apple !

En tout cas, ils sont plus compétents que toi et les autres haineux sur le sujet. Et naturellement, j’écoute les gens compétents.

avatar Malum 26/12/2017 - 15:09

Picasso savait dessiner et vous ne savez que raconter de mauvaise histoires.
En matière de sécurité on a apris à plusieurs reprises que l'OS Android pour plusieurs centaines de millions d'utilisateurs avait des failles de sécurité. Android ne risque pas de ralentir car il n'y a pas de mise à jour. Le dernier OS ne couvre que moins de 3 % des utilisateurs contre plus de 50 % pour iOS.

Enfin vous désinformez comme tous les journalistes. Apple ne bride pas les anciens appareils si la batterie est usagée, mais quand un seuil est atteint. Ce qui veut dire que lorsque la batterie est usée (composant qui s'use pour tous les téléphones au monde) mais pleine il n'y a pas de bridage. Ce n'est que lorsque le seuil est trop bas ou la température en dehors de sa zone d'utilisation que le téléphone est bridé. Et même au contraire c'est pour empêcher des coupures brusques que ce système a été mis en place. Toutes les class actions vont s'effondrer.

Il est vrai que parler d'obsolescence programmée cela fait tout à la fois savant et grand chevalier contre l'horrible monde Apple, mais c'est totalement bidon et prouve une incapacité totale à savoir ce que c'est dans la réalité.

Commentaire prototype de celui qui se croit malin en décomposant ses arguments qui sont cependant biaisés et donc faux.

avatar 8enoit 26/12/2017 - 16:51 via iGeneration pour iOS

@Pobla Picossa :
Vous n’êtes pas objectif. Vous noircissez le tableau

avatar fte 27/12/2017 - 02:16 via iGeneration pour iOS

@Pobla Picossa

"Mais le besoin est plus celui d'Apple que de ses clients."

Joliment dit ! J’approuve.

avatar MaTMaC 26/12/2017 - 10:23

J'ai fait le switch "tout Apple (vraiment tout !)" vers "tout Google" en mai dernier.
S8, Gear S3, Chromecast, Surface Pro et récemment j'ai viré lon Apple TV pour une Shield TV.

Il y a quand même un point positif pour iOS : l'OS est plus stable qu'Android.
Mais personnellement, c'est bien le seul aujourd'hui.

J'ai encore un un iPhone 7 a titre professionnel. Je l'ai choisi, car j'aurai pu prendre un 2nd S8 mais aucun intérêt. Et puis j'ai besoin des 2 plateformes pour travailler.

Aujourd'hui, je ne justifie plus l'achat de produits Apple.
C'est très cher, et ça ne fonctionne pas vraiment mieux et pas plus longtemps.
Un iPhone X c'est mini 1159€ alors qu'on trouve un S8 à moins de 600€ en 64 GB avec extension SD 256 Go... On peut donc avoir un smartphone très haut de gamme avec 320 Go pour moins de 650€ !

L'esthétique est une question de goûts. Mais quand on compare l'écran d'un S8 et celui d'un iPhone X, perso, je préfère de loin le S8 avec un vrai écran bordless.

J'adorai Apple, vraiment, mais pour moi ils ont passé un cap que je ne peux plus suivre et qui n'est plus justifié.

avatar kinon 26/12/2017 - 10:30

Il est toujours difficile de porter un jugement sûr et définitif sur un intervenant qui forcément ne donne que sa version des faits. En général dans ce cas on oublie facilement le détail de l'affaire qui n'est pas autant en sa faveur et qui permettrait peut être de comprendre le vrai déroulé du problème.

avatar pagaupa 26/12/2017 - 10:38 via iGeneration pour iOS

Le déclin d'Apple est en route...
A tout miser sur leur iphone pourtant bien plombé aussi, elle s'enfonce de jour en jour et la confiance s'envole.

avatar jazz678 26/12/2017 - 11:43 via iGeneration pour iOS

@pagaupa

« Le déclin d'Apple est en route... »

La rengaine habituelle...
...sauf qu’absolument tout te contredit aujourd’hui. Les râleries et autres frustratitudes sur les forums n’y changent rien

avatar occam 26/12/2017 - 12:36 via iGeneration pour iOS

@jazz678

Après quatre interventions du genre sur ce fil — jusqu'à l'heure, et nous ne sommes qu'à mi-journée — si quelqu'un de chez Apple avait l'infortune de vous lire, il devrait se rappeler le mot d'Arthur Balfour au sujet d'un supporter aussi tenace qu'importun : « Il nous poursuit d'une fidélité malveillante. »

avatar jazz678 26/12/2017 - 12:45 via iGeneration pour iOS

@occam

Oh mon intime conviction est que personne de chez Apple ne lit macge. Pas même par infortune.
Je suis donc tranquille et en paix avec moi-même

avatar occam 26/12/2017 - 19:37 via iGeneration pour iOS

@jazz678

"Je suis donc tranquille et en paix avec moi-même"

Je profite de ce moment d'équanimité pour mettre entre parenthèses nos divergences de vues et vous souhaiter, sans aucune ironie, de très bonnes fêtes.

avatar jazz678 26/12/2017 - 22:29 via iGeneration pour iOS

@occam

Bonnes fêtes à vous
🤗🍷🍾🍾

avatar fte 27/12/2017 - 02:25 via iGeneration pour iOS

@jazz678

"Oh mon intime conviction est que personne de chez Apple ne lit macge."

Tu as nécessairement tort, je n’imagine pas que tu ne le saches pas.

avatar fte 27/12/2017 - 02:22 via iGeneration pour iOS

@jazz678

"sauf qu’absolument tout te contredit"

Absolument tout ?

Non, pas absolument tout. Certaines choses capitalistes, oui. Mais tout, c’est une très très vaste exagération.

avatar Benitochoco 26/12/2017 - 10:55

En gros si je comprends bien le problème est résolu. Pas besoin de troller des heures.

avatar Steve Molle 26/12/2017 - 11:13

Laisse tomber, pour un fanboy, un utilisateur mécontent qui rencontre des problèmes est un râleur.

Leur petit mental narcissique ne leur permet pas de transposer leur cas. Ils imaginent que leur idolâtrie envers une entreprise est le nombril du monde et que tout le monde doit se plier à ce comportement ou mourir.

avatar Benitochoco 26/12/2017 - 15:45

Apple à plus de problèmes qu'avant, pas si sûr. Juste qu'il y a plus de clients qu'avant, de développeurs, donc ils mettent le doigt sur des erreurs.

avatar 8enoit 26/12/2017 - 12:19

BatteryGate, faille HomeKit, dur dur pour Apple.
J'espère qu'ils en tireront les leçons pour notre bénéfice. Pour ma part j'encaisse assez mal la question de la batterie (où il y a manifestement une volonté de dissimulation
de la part d'Apple), bien plus que ces questions de failles qui sont en fin de compte comblées.

avatar occam 26/12/2017 - 12:22 via iGeneration pour iOS

Désormais, il faut un sticker pour cette catégorie de news :
Quelle surprise ! NOT.

avatar comboss 26/12/2017 - 12:58 via iGeneration pour iOS

Muahaha depuis ce battery gate, les failles de mon MacBook Pro soit disant corrigées mais qu'on recorrige après je n'ai plus confiance : c'est dommage j'appréciais l'écosystème Apple.

Pages