Une équipe de chercheurs en sécurité a débusqué 55 vulnérabilités dans l'infrastructure d'Apple

Mickaël Bazoge |

Une équipe de cinq bidouilleurs chevronnés est partie à la chasse aux failles de sécurité et aux vulnérabilités dans les infrastructures d'Apple. Ce qui a commencé un peu comme un jeu est devenu un passe-temps très prenant : en trois mois (de début juillet à début octobre), Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb et Tanner Barnes ont débusqué 55 vulnérabilités, dont 11 critiques, 29 sérieuses, 11 moyennes et 2 faibles.

Pour cette pêche aux trésors, Apple a versé 51 500 $ dans le cadre de son bug bounty, ouvert à tous les chercheurs en sécurité depuis la fin de l'année dernière. Une somme qui pourrait encore augmenter en fonction de l'examen d'Apple. Le constructeur s'est montré très réactif pour boucher les failles repérées par les white hat : de quelques heures à quelques jours environ.

L'équipe s'est donc concentrée sur l'infrastructure d'Apple, qui est absolument massive : le constructeur possède l'intégralité de l'IP 17.0.0.0/8, qui couvre 25 000 serveurs web, dont 10 000 pour apple.com. La Pomme détient également 7 000 noms de domaine et son propre TLD(top-level domain), .apple.

Certaines des vulnérabilités auraient pu permettre à des malandrins de s'infiltrer dans des applications d'utilisateurs d'Apple et de ses employés, de lancer un logiciel malveillant capable de subtiliser des informations confidentielles de comptes iCloud, de voler du code source développé par le constructeur pour des projets internes, de prendre possession d'un logiciel utilisé par Apple pour gérer des entrepôts, ou encore de prendre le contrôle de sessions d'employés Apple avec la possibilité d'accéder aux outils de gestion.

Bref, c'est du sérieux. Impossible de décrire toutes les failles dont la « vaste majorité » a été corrigée, mais les amateurs se délecteront de quelques unes des découvertes à cette adresse. L'équipe a obtenu l'autorisation d'Apple d'en détailler quelques unes.

avatar reborn | 

Ah ouais quand même.. 🤯

avatar Scooby-Doo | 

@reborn,

55 vulnérabilités SEULEMENT ???

Même pas mal !

51 500 US$ seulement aussi !

Vraiment cela fait gros pingre !

😁

avatar occam | 

@Scooby-Doo

"55 vulnérabilités SEULEMENT ???"

😇

avatar Scooby-Doo | 

@occam,

Merci cher dieu vivant que j'admire pour votre sagesse infinie et votre savoir dimensionné pareillement !

😎

Vous lire enrichi mon esprit et réfléchir sur vos propos me donne du grain à moudre.

El Gringo mais où vas-tu chercher tout cela, le meilleur de l'Arabica ? Car sais-tu qu'il est tout au fond dans mon jardin à Noisy-le-Sec !

Alors quand vous me répondez juste par une simple émoticône, je me dis que ce résumé graphique hautement concentré et riche en arômes doit cacher tout un tas de choses bien croustillantes !

😋

avatar DareMac | 

@Scooby-Doo

En effet, 51 000$ ça me parait bien trop peu. A moins qu’il manque un zéro.

avatar BordelInside | 

@Scooby-Doo
"51 500 US$ seulement aussi !"

Jolie histoire récente : une dame achète un jeu à gratter et le file à des SDF, les SDF grattent et gagnent 50.000 balles.

N'ayant aucune compétence en détection de vulnérabilités, je crois que je vais me mettre à gratter, c'est moins fatiguant.

avatar andr3 | 

Comme quoi un petit pentest mené correctement avant mise en production, à chaque changement (majeur) et de façon régulière aurait pu aider la Pomme.

avatar j3r3m067 | 

@andr3

+1

avatar Malouin | 

@andr3

Avouons, quand même, que 55 vulnérabilités, ce sont sans doute 55 vulnérabilités de trop, mais que le ratio semble (très) pour une entreprise de la taille Apple.
Quand je pense aux SI de nos entreprises respectives et aux failles détectées par certains services ad hoc...

avatar Scooby-Doo | 

@Malouin,

Vous avez au moins lu le résumé des vulnérabilités ?

Par exemple : Accès à du code source en développement en interne !

Juste cela comme vous dites ! Pas grave !

Alors dans ces conditions de délabrement général de leur infrastructure, leur NDA, vous savez ils vont pouvoir se le garder...

😁

avatar Malouin | 

@Scooby-Doo

Qui a dit que ce n’était pas grave ?...
Je ne suis pas un donneur de leçons et, de part mon job, je me garderais bien du YAKA FOCON...

avatar Ginger bread | 

C’est tout ce qu ils ont eu? ......

avatar Scooby-Doo | 

@Ginger bread,

Pareil !

Cela fait à peine 1000 US$ la vulnérabilité !

C'est la crise, une multinationale sans le sou qui a de gros problèmes pour récompenser des amateurs qui ont passé quelques mois à faire le boulot du département sécurité informatique !

La misère...

😪

avatar Maliik | 

@Scooby-Doo

Certaines failles sont encore en cours d’examinassions et donc la somme total peut encore augmenter.

avatar Scooby-Doo | 

@Maliik,

Vous voulez dire qu'il faut attendre que Tim retrouve sa tirelire quand il était enfant et mette la main sur son trésor en pièces ???

La somme totale risque d'être révisée à la hausse, il faut l'espérer !

C'est juste le montant de départ qui est tout simplement indécent au regard du boulot accompli.

Après avec des rémunérations de ce type, d'autres iront sur des sites de reventes d'informations où ils gagneront dix fois plus, voire contacter carrément des organismes publics intéressés par ce type d'information.

C'est ce risque que je dénonce par une certaine moquerie !

Apple aurait tout intérêt au contraire à encourager financièrement les découvreurs de failles / vulnérabilités à les contacter directement en les appatant avec des US$, pas de la menue monnaie !

My 2 cents !

😁

avatar hawker | 

Bah cette boite est uniquement la pour engraisser les actionnaires. Il chient sur leur clients et sur les enterprises qui bossent pour eux, dev de l'appstore comme audit de securite.

Je vais acheter un tel Android et repasser sur pc win parce que j'en ai trop marre de ces fumiers d'ailleurs.

avatar victoireviclaux | 

@hawker

Ok bye, le rageux.

avatar Scooby-Doo | 

@victoireviclaux,

« Ok bye, le rageux. »

👍 Pas mieux !

avatar Scooby-Doo | 

@hawker,

« Je vais acheter un tel Android et repasser sur pc win parce que j'en ai trop marre de ces fumiers d'ailleurs. »

Ah énorme scoop, Google et Microsoft font dans la charité maintenant !

Ils ne sont pas là uniquement pour engraisser les actionnaires !

Non en achetant un téléphone Androïd et un PC sous Windows, vous risquez juste d'engraisser d'autres actionnaires voire les mêmes, ni plus ni moins !

Après, je ne sais s'ils méprisent autant leurs clients que Apple à vous lire, mais je pense qu'il faut pas trop se faire d'illusions...

Leurs sièges sociaux sont pour la plupart en Irlande, juste pour éviter de payer des impôts qui pourraient éventuellement profiter au bien être de leurs clients...

Mais quelle horreur !

😁

avatar amnesic | 

"51 500 $" pour 11 critiques ? Il manque pas un(des) zéro ou vraiment Apple est pingre dans son programme de bug bounty ?!?

avatar reborn | 

@amnesic

Une somme qui pourrait encore augmenter en fonction de l'examen d'Apple

avatar Scooby-Doo | 

@reborn,

Examen effectué dans un an ou deux, voire plus si possible !

Y a pas de petites économies ! Juste des grosses !

😁

avatar BordelInside | 

@amnesic
""51 500 $" pour 11 critiques ? "

Et ben quoi ?
Y a des gens ici, y font des critiques toutes la journée sur tout et n'importe quoi, bah je suis sûr que ça leur rapporte pas un radis (en plus de passer pour des nouilles quand ils racontent n'importe quoi)

avatar Nesus | 

Et bien j’aimerais bien faire 50 000 en 3 mois. Il me faut juste 4 fois plus de temps...

avatar pelipa91 | 

@Nesus

A diviser par 3 chercheurs, finalement c’est le SMIC (aux US en tous les cas avec ce salaire tu vas pas loin..)

Pages

CONNEXION UTILISATEUR