Une équipe de chercheurs en sécurité a débusqué 55 vulnérabilités dans l'infrastructure d'Apple

Mickaël Bazoge |

Une équipe de cinq bidouilleurs chevronnés est partie à la chasse aux failles de sécurité et aux vulnérabilités dans les infrastructures d'Apple. Ce qui a commencé un peu comme un jeu est devenu un passe-temps très prenant : en trois mois (de début juillet à début octobre), Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb et Tanner Barnes ont débusqué 55 vulnérabilités, dont 11 critiques, 29 sérieuses, 11 moyennes et 2 faibles.

Pour cette pêche aux trésors, Apple a versé 51 500 $ dans le cadre de son bug bounty, ouvert à tous les chercheurs en sécurité depuis la fin de l'année dernière. Une somme qui pourrait encore augmenter en fonction de l'examen d'Apple. Le constructeur s'est montré très réactif pour boucher les failles repérées par les white hat : de quelques heures à quelques jours environ.

L'équipe s'est donc concentrée sur l'infrastructure d'Apple, qui est absolument massive : le constructeur possède l'intégralité de l'IP 17.0.0.0/8, qui couvre 25 000 serveurs web, dont 10 000 pour apple.com. La Pomme détient également 7 000 noms de domaine et son propre TLD(top-level domain), .apple.

Certaines des vulnérabilités auraient pu permettre à des malandrins de s'infiltrer dans des applications d'utilisateurs d'Apple et de ses employés, de lancer un logiciel malveillant capable de subtiliser des informations confidentielles de comptes iCloud, de voler du code source développé par le constructeur pour des projets internes, de prendre possession d'un logiciel utilisé par Apple pour gérer des entrepôts, ou encore de prendre le contrôle de sessions d'employés Apple avec la possibilité d'accéder aux outils de gestion.

Bref, c'est du sérieux. Impossible de décrire toutes les failles dont la « vaste majorité » a été corrigée, mais les amateurs se délecteront de quelques unes des découvertes à cette adresse. L'équipe a obtenu l'autorisation d'Apple d'en détailler quelques unes.

avatar reborn | 

Ah ouais quand même.. 🤯

avatar Scooby-Doo | 

@reborn,

55 vulnérabilités SEULEMENT ???

Même pas mal !

51 500 US$ seulement aussi !

Vraiment cela fait gros pingre !

😁

avatar occam | 

@Scooby-Doo

"55 vulnérabilités SEULEMENT ???"

😇

avatar Scooby-Doo | 

@occam,

Merci cher dieu vivant que j'admire pour votre sagesse infinie et votre savoir dimensionné pareillement !

😎

Vous lire enrichi mon esprit et réfléchir sur vos propos me donne du grain à moudre.

El Gringo mais où vas-tu chercher tout cela, le meilleur de l'Arabica ? Car sais-tu qu'il est tout au fond dans mon jardin à Noisy-le-Sec !

Alors quand vous me répondez juste par une simple émoticône, je me dis que ce résumé graphique hautement concentré et riche en arômes doit cacher tout un tas de choses bien croustillantes !

😋

avatar Artefact3000 | 

@Scooby-Doo

En effet, 51 000$ ça me parait bien trop peu. A moins qu’il manque un zéro.

avatar BordelInside | 

@Scooby-Doo
"51 500 US$ seulement aussi !"

Jolie histoire récente : une dame achète un jeu à gratter et le file à des SDF, les SDF grattent et gagnent 50.000 balles.

N'ayant aucune compétence en détection de vulnérabilités, je crois que je vais me mettre à gratter, c'est moins fatiguant.

avatar andr3 | 

Comme quoi un petit pentest mené correctement avant mise en production, à chaque changement (majeur) et de façon régulière aurait pu aider la Pomme.

avatar j3r3m067 | 

@andr3

+1

avatar Malouin | 

@andr3

Avouons, quand même, que 55 vulnérabilités, ce sont sans doute 55 vulnérabilités de trop, mais que le ratio semble (très) pour une entreprise de la taille Apple.
Quand je pense aux SI de nos entreprises respectives et aux failles détectées par certains services ad hoc...

avatar Scooby-Doo | 

@Malouin,

Vous avez au moins lu le résumé des vulnérabilités ?

Par exemple : Accès à du code source en développement en interne !

Juste cela comme vous dites ! Pas grave !

Alors dans ces conditions de délabrement général de leur infrastructure, leur NDA, vous savez ils vont pouvoir se le garder...

😁

avatar Malouin | 

@Scooby-Doo

Qui a dit que ce n’était pas grave ?...
Je ne suis pas un donneur de leçons et, de part mon job, je me garderais bien du YAKA FOCON...

avatar Ginger bread | 

C’est tout ce qu ils ont eu? ......

avatar Scooby-Doo | 

@Ginger bread,

Pareil !

Cela fait à peine 1000 US$ la vulnérabilité !

C'est la crise, une multinationale sans le sou qui a de gros problèmes pour récompenser des amateurs qui ont passé quelques mois à faire le boulot du département sécurité informatique !

La misère...

😪

avatar Maliik | 

@Scooby-Doo

Certaines failles sont encore en cours d’examinassions et donc la somme total peut encore augmenter.

avatar Scooby-Doo | 

@Maliik,

Vous voulez dire qu'il faut attendre que Tim retrouve sa tirelire quand il était enfant et mette la main sur son trésor en pièces ???

La somme totale risque d'être révisée à la hausse, il faut l'espérer !

C'est juste le montant de départ qui est tout simplement indécent au regard du boulot accompli.

Après avec des rémunérations de ce type, d'autres iront sur des sites de reventes d'informations où ils gagneront dix fois plus, voire contacter carrément des organismes publics intéressés par ce type d'information.

C'est ce risque que je dénonce par une certaine moquerie !

Apple aurait tout intérêt au contraire à encourager financièrement les découvreurs de failles / vulnérabilités à les contacter directement en les appatant avec des US$, pas de la menue monnaie !

My 2 cents !

😁

avatar hawker | 

Bah cette boite est uniquement la pour engraisser les actionnaires. Il chient sur leur clients et sur les enterprises qui bossent pour eux, dev de l'appstore comme audit de securite.

Je vais acheter un tel Android et repasser sur pc win parce que j'en ai trop marre de ces fumiers d'ailleurs.

avatar victoireviclaux | 

@hawker

Ok bye, le rageux.

avatar Scooby-Doo | 

@victoireviclaux,

« Ok bye, le rageux. »

👍 Pas mieux !

avatar Scooby-Doo | 

@hawker,

« Je vais acheter un tel Android et repasser sur pc win parce que j'en ai trop marre de ces fumiers d'ailleurs. »

Ah énorme scoop, Google et Microsoft font dans la charité maintenant !

Ils ne sont pas là uniquement pour engraisser les actionnaires !

Non en achetant un téléphone Androïd et un PC sous Windows, vous risquez juste d'engraisser d'autres actionnaires voire les mêmes, ni plus ni moins !

Après, je ne sais s'ils méprisent autant leurs clients que Apple à vous lire, mais je pense qu'il faut pas trop se faire d'illusions...

Leurs sièges sociaux sont pour la plupart en Irlande, juste pour éviter de payer des impôts qui pourraient éventuellement profiter au bien être de leurs clients...

Mais quelle horreur !

😁

avatar amnesic | 

"51 500 $" pour 11 critiques ? Il manque pas un(des) zéro ou vraiment Apple est pingre dans son programme de bug bounty ?!?

avatar reborn | 

@amnesic

Une somme qui pourrait encore augmenter en fonction de l'examen d'Apple

avatar Scooby-Doo | 

@reborn,

Examen effectué dans un an ou deux, voire plus si possible !

Y a pas de petites économies ! Juste des grosses !

😁

avatar BordelInside | 

@amnesic
""51 500 $" pour 11 critiques ? "

Et ben quoi ?
Y a des gens ici, y font des critiques toutes la journée sur tout et n'importe quoi, bah je suis sûr que ça leur rapporte pas un radis (en plus de passer pour des nouilles quand ils racontent n'importe quoi)

avatar Nesus | 

Et bien j’aimerais bien faire 50 000 en 3 mois. Il me faut juste 4 fois plus de temps...

avatar pelipa91 | 

@Nesus

A diviser par 3 chercheurs, finalement c’est le SMIC (aux US en tous les cas avec ce salaire tu vas pas loin..)

avatar Scooby-Doo | 

@pelipa91

5 chercheurs ! Pas 3 !

Allez zou, je sors ma calculette spéciale « gros pingre c'est moi » !

50 000 US$ / 3 mois / 5 chercheurs = 3333 US $ de salaire mensuel !

Dans certaines zone de la Californie, à ce prix, tu ne trouves même pas une femme de ménage !

Vous me diriez pour faire le ménage dans les serveurs tout délabré de chez Apple, des femmes de ménage, cela peut faire l'affaire...

C'est vraiment la misère de la misère, manque plus qu'un appel mondial à une cagnotte en soutient à notre pauvre multinationale en perdition !

😁

avatar Inconnu-Soldat | 

Un- vous ne savez pas combien de temps ils ont travaillé. On parle d’un laps de temps mais rien n’indique qu’ils y ont travaillé à plein temps.
Deux- personne ne dit que c’est pour les 55 failles. En général ce n’est que pour les seules failles critiques. Et si on fait un calcul simpliste 11 sur 55 cela implique 1/5 du temps donc cela nous donne 16.500 par mois et encore bien plus s’ils n’y ont pas travaillé à plein temps. Je vous conseille à vous reconvertir dans le ménage à ce tarif-là ce n’est pas si mal même en Californie.
Lorsque vous aurez les informations complètes vous pourrez faire votre commentaire hargneux.

avatar Scooby-Doo | 

@Inconnu-Soldat,

« Un- vous ne savez pas combien de temps ils ont travaillé. On parle d’un laps de temps mais rien n’indique qu’ils y ont travaillé à plein temps. »

Vous non plus ! À moins que vous n'ayez une information à ce sujet, mes calculs se basent donc sur cet article de Mickaël Bazoge !

Donc on pose le calcul suivant :

50 000 US$ / 3 mois / 5 chercheurs = 3333 US $ de salaire mensuel !

« Deux- personne ne dit que c’est pour les 55 failles. En général ce n’est que pour les seules failles critiques. »

Faux !

Encore une fois, l'article précise bien les choses. En général ou en particulier, rien ne dit que c'est les seules failles critiques !

Je cite :

« en trois mois (de début juillet à début octobre), Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb et Tanner Barnes ont débusqué 55 vulnérabilités »

Du coup d'après les informations dans cet article, on a :

la durée de leur recherche, 3 mois si je ne m'abuse !

5 personnes citées dans l'article !

Et ils ont bien débusqué 55 vulnérabilités et pas 11 comme vous le prétendez !

Du coup qui est le hargneux qui lit en diagonale à fond les manettes ?

Ou alors vous avez des informations qui infirment les dires de cet article.

Dans ce cas, merci de nous les partager...

😁

Par contre vous avez raté l'essentiel il me semble !

J'ai surtout remarqué ceci :

55 vulnérabilités SEULEMENT !

Je sais que vous semblez fâché avec les maths les plus simples mais reprenons le début de cette affaire :

55 vulnérabilités pour 25 000 serveurs, cela nous fait quel taux de vulnérabilité au fait !!!

0,22 % ?

Toujours trop certes, mais bon c'est contre 25 000.

Mais il fallait pas tomber dans le panneau vous aussi !

Après c'est toujours 55 vulnérabilités de trop et les dégâts auraient pu être considérables...

😎

PS : merci de noter aussi à quelle vitesse remarquable Apple comble ses vulnérabilités côté serveurs quand on voit à quelle vitesse elle les comble côté clients...

Preuve manifeste que ce n'est pas un problème de compétence mais bien de priorité !

😭

avatar BordelInside | 

@Inconnu-Soldat

'tain, t'as toujours ta touche "Entrée" qui est cassée, ça craint.

avatar albert13 | 

« Une somme qui pourrait encore augmenter en fonction de l'examen d'Apple »
pas trop bien compris cette phrase...

est-ce que Apple paie en fonction des dégâts que cela aurait pu leur causer, après vérification ? pas très clair tout ça...

Est-il possible aussi si on se fait des films en 4D que apple a passé un contrat de confidentialité avec eux pour ne pas divulguer la VRAIE somme afin d’éviter une inflation au niveau des récompenses 😜 ?

avatar Scooby-Doo | 

@albert13,

« est-ce que Apple paie en fonction des dégâts que cela aurait pu leur causer, après vérification ? pas très clair tout ça... »

Apple semble payer en fonction du type de vulnérabilités, du simple problème à la faille critique sur une grille tarifaire, qui somme toute est bien faible par rapport à la concurrence.

Après, comme expliqué, elle peut décider d'indemniser au-delà mais est-ce dans ses habitudes ?

Et pourquoi ne pas appater les chercheurs à trouver des failles en plaçant une grille tarifaire attractive plutôt qu'au cas par cas ?

That is the question !

😎

avatar Pato49 | 

@albert13

Souvent, le montant de la récompense dépend de l’impact de la faille de sécurité, ce qui peut demander une analyse des ingénieurs en charge des développements.
Par exemple, s’ils découvrent une faille mais qui n’est pas exploitable, elle a beaucoup moins de valeur que si la faille est exploitable et permet l’accès à des informations hautement sensibles. Là Apple a juste constaté la présence des failles et les a corrigé en urgence. Maintenant il faut évaluer l’impact potentiel de ces failles.

avatar kitetrip | 

Ça me conforte de continuer à ne pas utiliser iCloud...

avatar CorbeilleNews | 

@kitetrip

Puisque c’est sécurisé qu’on nous dis a tout bout de champ : banques assurances laboratoires d’analyses j’en passe et des meilleures...

avatar Scooby-Doo | 

@CorbeilleNews,

Un peu comme les serveurs de chez Adobe piratés il y a quelques temps de cela ?

Avec de bons morceaux de base de données en électron libre ?

Même pas mal...

😁

avatar quentinf33 (non vérifié) | 

@kitetrip

Ah oui j’avais oublié que tout le reste était absolument infaillible. C’est triste de sortir de telles inepties quand même. Sans argumentation. Comme un enfant.

avatar Scooby-Doo | 

@Sindanárië,

Trop profond ! Cela ne passera pas !

Et puis ce fameux John M., jeune acteur à l'avenir prometteur, a déjà explosé la baraque dans Deepwater Horizon !

😁

avatar dodomu | 

Pour donner un ordre de grandeur, la plage d’adresses 17.0.0.0/8 représente 2^(32-8) = 16 777 216 adresses IP individuelles, soit 1/256 ieme du nombre total d’adresses IPv4.
Pour ceux qui se demandent, c’est beaucoup ! 😄

avatar Scooby-Doo | 

@dodomu,

« Pour donner un ordre de grandeur, la plage d’adresses 17.0.0.0/8 représente 2^(32-8) = 16 777 216 adresses IP individuelles, soit 1/256 ieme du nombre total d’adresses IPv4.
Pour ceux qui se demandent, c’est beaucoup ! »

Dans mes pattes ! Enfin quelqu'un qui sait compter sur ce site !!!

😁

Et effectivement, cela semble juste ÉNORME !

Apple avait peut-être peur de manquer d'adresses IPv4 😲

Mais l'IPv4 c'est so previous century !

😎

avatar popeye1 | 

APPLE aurait pu, aussi, gratifier chacun d’eux d’un iMac 27 pouces ou d’un iPhone 12. Au prix de revient ça ne lui aurait pas coûté un bras.
« Et pendant ce temps-là » il palpe combien le prêcheur en titre ? Une misère à l’échelle astronomique.
C’est le savoir-vivre US.

avatar Sindanarie | 

Moi j’aurais revendu la faille au plus offrant !
Qu’importe qui ça pourrait être !

avatar Scooby-Doo | 

@Sindanárië,

« Moi j’aurais revendu la faille au plus offrant ! Qu’importe qui ça pourrait être ! »

Top rebel spotted !

😁

avatar Push-Diabolo | 

Apple verse des paiements par lots. Au 8 octobre, ils ont reçu 32 paiements d'une valeur de 288 500$, c'est écrit dans la conclusion des chercheurs dans le lien "adresse" de l'article…

avatar Scooby-Doo | 

@Push-Diabolo,

Dans mes pattes cher contributeur ! Merci d'avoir tout lu !

« As of now, October 8th, we have received 32 payments totaling $288,500 for various vulnerabilities. »

288 500 US$, cela me semble plus conforme !

Et je pense qu'au vu de leur travail, ce n'est pas fini !

Question finale : auront-ils un iPhone 12 en cadeau 😘

avatar Salapeche | 

"Question finale : auront-ils un iPhone 12 en cadeau 😘"

Ils auront un bon de remise de 5% sur leur prochain achat. :)

La question finale aurait du être: Sont-ils les 1iers ou une puissance étrangère, capable de déployer une groupe de hackers de plusieurs dizaines ou centaines de personnes, est déjà passée avant eux et a déjà fait ses courses chez apple ? :)

CONNEXION UTILISATEUR