Une équipe de chercheurs en sécurité a débusqué 55 vulnérabilités dans l'infrastructure d'Apple
Une équipe de cinq bidouilleurs chevronnés est partie à la chasse aux failles de sécurité et aux vulnérabilités dans les infrastructures d'Apple. Ce qui a commencé un peu comme un jeu est devenu un passe-temps très prenant : en trois mois (de début juillet à début octobre), Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb et Tanner Barnes ont débusqué 55 vulnérabilités, dont 11 critiques, 29 sérieuses, 11 moyennes et 2 faibles.
Pour cette pêche aux trésors, Apple a versé 51 500 $ dans le cadre de son bug bounty, ouvert à tous les chercheurs en sécurité depuis la fin de l'année dernière. Une somme qui pourrait encore augmenter en fonction de l'examen d'Apple. Le constructeur s'est montré très réactif pour boucher les failles repérées par les white hat : de quelques heures à quelques jours environ.
L'équipe s'est donc concentrée sur l'infrastructure d'Apple, qui est absolument massive : le constructeur possède l'intégralité de l'IP 17.0.0.0/8, qui couvre 25 000 serveurs web, dont 10 000 pour apple.com. La Pomme détient également 7 000 noms de domaine et son propre TLD(top-level domain), .apple.
Certaines des vulnérabilités auraient pu permettre à des malandrins de s'infiltrer dans des applications d'utilisateurs d'Apple et de ses employés, de lancer un logiciel malveillant capable de subtiliser des informations confidentielles de comptes iCloud, de voler du code source développé par le constructeur pour des projets internes, de prendre possession d'un logiciel utilisé par Apple pour gérer des entrepôts, ou encore de prendre le contrôle de sessions d'employés Apple avec la possibilité d'accéder aux outils de gestion.
Bref, c'est du sérieux. Impossible de décrire toutes les failles dont la « vaste majorité » a été corrigée, mais les amateurs se délecteront de quelques unes des découvertes à cette adresse. L'équipe a obtenu l'autorisation d'Apple d'en détailler quelques unes.
Ah ouais quand même.. 🤯
@reborn,
55 vulnérabilités SEULEMENT ???
Même pas mal !
51 500 US$ seulement aussi !
Vraiment cela fait gros pingre !
😁
@Scooby-Doo
"55 vulnérabilités SEULEMENT ???"
😇
@occam,
Merci cher dieu vivant que j'admire pour votre sagesse infinie et votre savoir dimensionné pareillement !
😎
Vous lire enrichi mon esprit et réfléchir sur vos propos me donne du grain à moudre.
El Gringo mais où vas-tu chercher tout cela, le meilleur de l'Arabica ? Car sais-tu qu'il est tout au fond dans mon jardin à Noisy-le-Sec !
Alors quand vous me répondez juste par une simple émoticône, je me dis que ce résumé graphique hautement concentré et riche en arômes doit cacher tout un tas de choses bien croustillantes !
😋
@Scooby-Doo
En effet, 51 000$ ça me parait bien trop peu. A moins qu’il manque un zéro.
@Scooby-Doo
"51 500 US$ seulement aussi !"
Jolie histoire récente : une dame achète un jeu à gratter et le file à des SDF, les SDF grattent et gagnent 50.000 balles.
N'ayant aucune compétence en détection de vulnérabilités, je crois que je vais me mettre à gratter, c'est moins fatiguant.
Comme quoi un petit pentest mené correctement avant mise en production, à chaque changement (majeur) et de façon régulière aurait pu aider la Pomme.
@andr3
+1
@andr3
Avouons, quand même, que 55 vulnérabilités, ce sont sans doute 55 vulnérabilités de trop, mais que le ratio semble (très) pour une entreprise de la taille Apple.
Quand je pense aux SI de nos entreprises respectives et aux failles détectées par certains services ad hoc...
@Malouin,
Vous avez au moins lu le résumé des vulnérabilités ?
Par exemple : Accès à du code source en développement en interne !
Juste cela comme vous dites ! Pas grave !
Alors dans ces conditions de délabrement général de leur infrastructure, leur NDA, vous savez ils vont pouvoir se le garder...
😁
@Scooby-Doo
Qui a dit que ce n’était pas grave ?...
Je ne suis pas un donneur de leçons et, de part mon job, je me garderais bien du YAKA FOCON...
C’est tout ce qu ils ont eu? ......
@Ginger bread,
Pareil !
Cela fait à peine 1000 US$ la vulnérabilité !
C'est la crise, une multinationale sans le sou qui a de gros problèmes pour récompenser des amateurs qui ont passé quelques mois à faire le boulot du département sécurité informatique !
La misère...
😪
@Scooby-Doo
Certaines failles sont encore en cours d’examinassions et donc la somme total peut encore augmenter.
@Maliik,
Vous voulez dire qu'il faut attendre que Tim retrouve sa tirelire quand il était enfant et mette la main sur son trésor en pièces ???
La somme totale risque d'être révisée à la hausse, il faut l'espérer !
C'est juste le montant de départ qui est tout simplement indécent au regard du boulot accompli.
Après avec des rémunérations de ce type, d'autres iront sur des sites de reventes d'informations où ils gagneront dix fois plus, voire contacter carrément des organismes publics intéressés par ce type d'information.
C'est ce risque que je dénonce par une certaine moquerie !
Apple aurait tout intérêt au contraire à encourager financièrement les découvreurs de failles / vulnérabilités à les contacter directement en les appatant avec des US$, pas de la menue monnaie !
My 2 cents !
😁
Bah cette boite est uniquement la pour engraisser les actionnaires. Il chient sur leur clients et sur les enterprises qui bossent pour eux, dev de l'appstore comme audit de securite.
Je vais acheter un tel Android et repasser sur pc win parce que j'en ai trop marre de ces fumiers d'ailleurs.
@hawker
Ok bye, le rageux.
@victoireviclaux,
« Ok bye, le rageux. »
👍 Pas mieux !
@hawker,
« Je vais acheter un tel Android et repasser sur pc win parce que j'en ai trop marre de ces fumiers d'ailleurs. »
Ah énorme scoop, Google et Microsoft font dans la charité maintenant !
Ils ne sont pas là uniquement pour engraisser les actionnaires !
Non en achetant un téléphone Androïd et un PC sous Windows, vous risquez juste d'engraisser d'autres actionnaires voire les mêmes, ni plus ni moins !
Après, je ne sais s'ils méprisent autant leurs clients que Apple à vous lire, mais je pense qu'il faut pas trop se faire d'illusions...
Leurs sièges sociaux sont pour la plupart en Irlande, juste pour éviter de payer des impôts qui pourraient éventuellement profiter au bien être de leurs clients...
Mais quelle horreur !
😁
"51 500 $" pour 11 critiques ? Il manque pas un(des) zéro ou vraiment Apple est pingre dans son programme de bug bounty ?!?
@amnesic
Une somme qui pourrait encore augmenter en fonction de l'examen d'Apple
@reborn,
Examen effectué dans un an ou deux, voire plus si possible !
Y a pas de petites économies ! Juste des grosses !
😁
@amnesic
""51 500 $" pour 11 critiques ? "
Et ben quoi ?
Y a des gens ici, y font des critiques toutes la journée sur tout et n'importe quoi, bah je suis sûr que ça leur rapporte pas un radis (en plus de passer pour des nouilles quand ils racontent n'importe quoi)
Et bien j’aimerais bien faire 50 000 en 3 mois. Il me faut juste 4 fois plus de temps...
@Nesus
A diviser par 3 chercheurs, finalement c’est le SMIC (aux US en tous les cas avec ce salaire tu vas pas loin..)
@pelipa91
5 chercheurs ! Pas 3 !
Allez zou, je sors ma calculette spéciale « gros pingre c'est moi » !
50 000 US$ / 3 mois / 5 chercheurs = 3333 US $ de salaire mensuel !
Dans certaines zone de la Californie, à ce prix, tu ne trouves même pas une femme de ménage !
Vous me diriez pour faire le ménage dans les serveurs tout délabré de chez Apple, des femmes de ménage, cela peut faire l'affaire...
C'est vraiment la misère de la misère, manque plus qu'un appel mondial à une cagnotte en soutient à notre pauvre multinationale en perdition !
😁
Un- vous ne savez pas combien de temps ils ont travaillé. On parle d’un laps de temps mais rien n’indique qu’ils y ont travaillé à plein temps.
Deux- personne ne dit que c’est pour les 55 failles. En général ce n’est que pour les seules failles critiques. Et si on fait un calcul simpliste 11 sur 55 cela implique 1/5 du temps donc cela nous donne 16.500 par mois et encore bien plus s’ils n’y ont pas travaillé à plein temps. Je vous conseille à vous reconvertir dans le ménage à ce tarif-là ce n’est pas si mal même en Californie.
Lorsque vous aurez les informations complètes vous pourrez faire votre commentaire hargneux.
@Inconnu-Soldat,
« Un- vous ne savez pas combien de temps ils ont travaillé. On parle d’un laps de temps mais rien n’indique qu’ils y ont travaillé à plein temps. »
Vous non plus ! À moins que vous n'ayez une information à ce sujet, mes calculs se basent donc sur cet article de Mickaël Bazoge !
Donc on pose le calcul suivant :
50 000 US$ / 3 mois / 5 chercheurs = 3333 US $ de salaire mensuel !
« Deux- personne ne dit que c’est pour les 55 failles. En général ce n’est que pour les seules failles critiques. »
Faux !
Encore une fois, l'article précise bien les choses. En général ou en particulier, rien ne dit que c'est les seules failles critiques !
Je cite :
« en trois mois (de début juillet à début octobre), Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb et Tanner Barnes ont débusqué 55 vulnérabilités »
Du coup d'après les informations dans cet article, on a :
la durée de leur recherche, 3 mois si je ne m'abuse !
5 personnes citées dans l'article !
Et ils ont bien débusqué 55 vulnérabilités et pas 11 comme vous le prétendez !
Du coup qui est le hargneux qui lit en diagonale à fond les manettes ?
Ou alors vous avez des informations qui infirment les dires de cet article.
Dans ce cas, merci de nous les partager...
😁
Par contre vous avez raté l'essentiel il me semble !
J'ai surtout remarqué ceci :
55 vulnérabilités SEULEMENT !
Je sais que vous semblez fâché avec les maths les plus simples mais reprenons le début de cette affaire :
55 vulnérabilités pour 25 000 serveurs, cela nous fait quel taux de vulnérabilité au fait !!!
0,22 % ?
Toujours trop certes, mais bon c'est contre 25 000.
Mais il fallait pas tomber dans le panneau vous aussi !
Après c'est toujours 55 vulnérabilités de trop et les dégâts auraient pu être considérables...
😎
PS : merci de noter aussi à quelle vitesse remarquable Apple comble ses vulnérabilités côté serveurs quand on voit à quelle vitesse elle les comble côté clients...
Preuve manifeste que ce n'est pas un problème de compétence mais bien de priorité !
😭
@Inconnu-Soldat
'tain, t'as toujours ta touche "Entrée" qui est cassée, ça craint.
« Une somme qui pourrait encore augmenter en fonction de l'examen d'Apple »
pas trop bien compris cette phrase...
est-ce que Apple paie en fonction des dégâts que cela aurait pu leur causer, après vérification ? pas très clair tout ça...
Est-il possible aussi si on se fait des films en 4D que apple a passé un contrat de confidentialité avec eux pour ne pas divulguer la VRAIE somme afin d’éviter une inflation au niveau des récompenses 😜 ?
@albert13,
« est-ce que Apple paie en fonction des dégâts que cela aurait pu leur causer, après vérification ? pas très clair tout ça... »
Apple semble payer en fonction du type de vulnérabilités, du simple problème à la faille critique sur une grille tarifaire, qui somme toute est bien faible par rapport à la concurrence.
Après, comme expliqué, elle peut décider d'indemniser au-delà mais est-ce dans ses habitudes ?
Et pourquoi ne pas appater les chercheurs à trouver des failles en plaçant une grille tarifaire attractive plutôt qu'au cas par cas ?
That is the question !
😎
@albert13
Souvent, le montant de la récompense dépend de l’impact de la faille de sécurité, ce qui peut demander une analyse des ingénieurs en charge des développements.
Par exemple, s’ils découvrent une faille mais qui n’est pas exploitable, elle a beaucoup moins de valeur que si la faille est exploitable et permet l’accès à des informations hautement sensibles. Là Apple a juste constaté la présence des failles et les a corrigé en urgence. Maintenant il faut évaluer l’impact potentiel de ces failles.
Ça me conforte de continuer à ne pas utiliser iCloud...
@kitetrip
Puisque c’est sécurisé qu’on nous dis a tout bout de champ : banques assurances laboratoires d’analyses j’en passe et des meilleures...
@CorbeilleNews,
Un peu comme les serveurs de chez Adobe piratés il y a quelques temps de cela ?
Avec de bons morceaux de base de données en électron libre ?
Même pas mal...
😁
@kitetrip
Ah oui j’avais oublié que tout le reste était absolument infaillible. C’est triste de sortir de telles inepties quand même. Sans argumentation. Comme un enfant.
https://media4.giphy.com/media/kbRcT7FOjyqBA73gJV/giphy.gif?cid=4d1e4f29...
@Sindanárië,
Trop profond ! Cela ne passera pas !
Et puis ce fameux John M., jeune acteur à l'avenir prometteur, a déjà explosé la baraque dans Deepwater Horizon !
😁
Pour donner un ordre de grandeur, la plage d’adresses 17.0.0.0/8 représente 2^(32-8) = 16 777 216 adresses IP individuelles, soit 1/256 ieme du nombre total d’adresses IPv4.
Pour ceux qui se demandent, c’est beaucoup ! 😄
@dodomu,
« Pour donner un ordre de grandeur, la plage d’adresses 17.0.0.0/8 représente 2^(32-8) = 16 777 216 adresses IP individuelles, soit 1/256 ieme du nombre total d’adresses IPv4.
Pour ceux qui se demandent, c’est beaucoup ! »
Dans mes pattes ! Enfin quelqu'un qui sait compter sur ce site !!!
😁
Et effectivement, cela semble juste ÉNORME !
Apple avait peut-être peur de manquer d'adresses IPv4 😲
Mais l'IPv4 c'est so previous century !
😎
APPLE aurait pu, aussi, gratifier chacun d’eux d’un iMac 27 pouces ou d’un iPhone 12. Au prix de revient ça ne lui aurait pas coûté un bras.
« Et pendant ce temps-là » il palpe combien le prêcheur en titre ? Une misère à l’échelle astronomique.
C’est le savoir-vivre US.
Moi j’aurais revendu la faille au plus offrant !
Qu’importe qui ça pourrait être !
@Sindanárië,
« Moi j’aurais revendu la faille au plus offrant ! Qu’importe qui ça pourrait être ! »
Top rebel spotted !
😁
Apple verse des paiements par lots. Au 8 octobre, ils ont reçu 32 paiements d'une valeur de 288 500$, c'est écrit dans la conclusion des chercheurs dans le lien "adresse" de l'article…
@Push-Diabolo,
Dans mes pattes cher contributeur ! Merci d'avoir tout lu !
« As of now, October 8th, we have received 32 payments totaling $288,500 for various vulnerabilities. »
288 500 US$, cela me semble plus conforme !
Et je pense qu'au vu de leur travail, ce n'est pas fini !
Question finale : auront-ils un iPhone 12 en cadeau 😘
"Question finale : auront-ils un iPhone 12 en cadeau 😘"
Ils auront un bon de remise de 5% sur leur prochain achat. :)
La question finale aurait du être: Sont-ils les 1iers ou une puissance étrangère, capable de déployer une groupe de hackers de plusieurs dizaines ou centaines de personnes, est déjà passée avant eux et a déjà fait ses courses chez apple ? :)