Failles iOS 15 rendues publiques : Apple donne signe de vie

Mickaël Bazoge |

Les chercheurs en sécurité devront-ils communiquer publiquement les failles iOS avant leurs correctifs pour qu'Apple les prenne au sérieux ? Ce n'est pas souhaitable, car la divulgation de vulnérabilités sans qu'un patch n'ait été livré au préalable représente un vrai danger non seulement pour Apple, mais aussi et surtout pour les utilisateurs.

Mais parfois, le constructeur ne donne pas d'autre choix. Denis Tokarev, alias « illusionofchaos », a rendu publique la semaine dernière plusieurs failles de sécurité touchant iOS ; si une d'entre elles a été corrigée dans iOS 14.7, trois autres sont toujours présentes dans iOS 15.

Apple traine toujours autant des pieds pour récompenser les chercheurs en sécurité

Apple traine toujours autant des pieds pour récompenser les chercheurs en sécurité

Tokarev a prévenu Apple de ces trois failles entre le 10 mars et le 29 avril. Il a reçu un accusé de réception au mois d'août, puis plus rien. Le 13 septembre, il prévient qu'il publiera des informations sur ces vulnérabilités à moins que le constructeur revienne vers lui.

Apple a bel et bien répondu… mais après la publication de son billet dévoilant les vulnérabilités en question. « Nous avons vu votre billet à propos du problème et vos autres rapports. Nous sommes désolé pour le délai de réponse », écrit un employé.

Autrement dit, il a fallu que le chercheur fasse du barouf et qu'il soit repris par la presse pour qu'Apple se décide à reprendre contact. Au passage, ce n'est pas sans rappeler ce que les développeurs doivent trop souvent faire pour obtenir des explications sur telle décision de l'App Store.

Quoi qu'il en soit, Apple enquête toujours sur les trois failles en question et sur la manière dont elles pourraient être corrigées. Heureusement, ce ne sont pas des vulnérabilités critiques ; pour qu'elles soient exploitées il faudrait installer une application malveillante, or seul l'App Store peut les distribuer non sans passer auparavant par le tamis d'Apple.

La Pomme a annoncé récemment une amélioration de son programme de chasse aux bugs, et surtout un travail de fond pour s'attirer de nouveau les faveurs des chercheurs en sécurité.

Apple va bonifier son bug bounty pour attirer des chercheurs en sécurité pas très enthousiastes

Apple va bonifier son bug bounty pour attirer des chercheurs en sécurité pas très enthousiastes

avatar frankm | 

Ils ont qu’à prévenir Apple en indiquant :
J’ai trouvé telle faille, je vais la vendre, et si pas vendue dans d’ici mois, je la publie

avatar powergeek | 

@frankm

Je crois qu'il y a une faille dans ton commentaire 😅

avatar spm | 

@powergeek

🤫🤣

avatar Dziga_Vertox | 

Welcome to iOS 15

avatar MoNg | 

Il y a une faille dans la reconnaissance chez Apple.

avatar hawker | 

Ils ont pas assez d'argent pour prendre les failles de sécurité au sérieux, encore moins pour payer les personne qui les trouvent.

avatar fte | 

Les assurances ou banques ou administrations ont compris la solution depuis longtemps. Votre conseiller, votre gestionnaire… un nom, un contact direct.

Apple est, pour les développeurs victimes des lutins malfaisants du store, pour les chercheurs en sécurité, pour les tiers en général, un bloc anonyme et monolithique, sans contact, sans possibilité d’escalader le problème. Sauf à faire un scandale en public.

C’était il y a très longtemps, mon client m’a aidé à escalader un problème chez Apple. Le CEO de mon client a téléphoné à Jobs lui-même, pour obtenir un rendez-vous avec des ingénieurs kernel.

Rien n’a changé.

avatar pechtoc | 

@fte

D'un autre côté ils sont cohérent avec leur vision d'iOS 100% secure. Cette vision est fausse mais c'est un détail...

avatar Florent Morin | 

« pour qu'elles soient exploitées il faudrait installer une application malveillante, or seul l'App Store peut les distribuer non sans passer auparavant par le tamis d'Apple. »

Ce qui répond à une autre question évoquée lors du procès face à Epic : le side loading est-il dangereux pour les utilisateurs ? A priori, oui. Démonstration faite par un chercheur en sécurité qui a side loadé une app.

avatar stahl_ | 

Ce serait osé mais c'est peut-être bien ce que cherche à démontrer Apple…

avatar r e m y | 

Une app exploitant une faille inconnue d'Apple risque de passer inaperçue lors de sa validation par les équipes de l'AppStore.

avatar Krysten2001 | 

@r e m y

Faut qu’elle soit distribué hors App Store

avatar r e m y | 

Relisez tranquillement mon commentaire svp...
Je vous dis qu'elle peut être distribuée par l'appStore! Exploitant une faille inconnue ou sur laquelle Apple n'a pas jugé bon de se pencher, son caractère malveillant passera inaperçu et elle sera validée. C'est déjà arrivé plusieurs fois sur l'appStore

avatar Amaczing | 

@r e m y

"Relisez tranquillement mon commentaire svp...
Je vous dis qu'elle peut être distribuée par l'appStore! Exploitant une faille inconnue ou sur laquelle Apple n'a pas jugé bon de se pencher, son caractère malveillant passera inaperçu et elle sera validée. C'est déjà arrivé plusieurs fois sur l'appStore"

Reprends donc un pichet de café tu n’as pas l’aire bien réveillé toi ce matin ^^

avatar Florent Morin | 

@r e m y

Elle ne passerait pas la validation technique automatisée.

avatar r e m y | 

Je ne vois pas comment. La validation automatisée ne peut pas rechercher quelque chose qui est inconnu d'Apple. C'est bien le problème des failles zéro day. Aucun processus automatisé ne peut trouver un malware les exploitant, vu qu'elles ne sont pas connues.

avatar Florent Morin | 

@r e m y

Le malware utilise des APIs non documentées de GameKit.
Et la validation ne passe pas si on utilise des APIs non documentées.

Sachant que même si l’app passait l’App Store pour une raison quelconque, elle pourrait être retirée de manière automatique.
Et les apps utilisant le même code malware seraient automatiquement détectées et supprimées sur les appareils des utilisateurs.

avatar softjo | 

Certaines app utilisent des APIs non documentées et passent la validation également... Donc oui, une app avec ce malware pourrait être mise sur l'AppStore et y resté quelques mois.

avatar fte | 

@FloMo

"Elle ne passerait pas la validation technique automatisée."

Sauf celles qui masquent leur exploitation, celles qui exploitent une faille de la validation automatisée, celles qui… etc.

avatar Nielp | 

C'est le code bourré de failles d'apple qui est dangereux pas le sideloading. :)

avatar bobo80 | 

Ce matin j’ai une fenêtre qui m’indique que iOS15 sera installé cette nuit…. Alors que j’ai déjà iOS15 sur mon iPhone 13 Pro..

« Cette mise à jour apporte des correctifs de sécurité importants et résout un problème pouvant entraîner le rétablissement des réglages par défaut des widgets après la restauration depuis une sauvegarde.
Pour en savoir plus sur les correctifs de sécurité apportés par les mises à jour logicielles d’Apple, veuillez consulter la page suivante :
https://support.apple.com/kb/HT201222 »

Étrange…

avatar JoëlGloanec (non vérifié) | 

Question déjà posée peut-être : IOS 14.8 , le logiciel de votre iPhone est à jour. Egalement disponible : mettre à niveau vers IOS 15. Alors, mon iPhone est à jour ou non ? habituellement lorsqu'une mise à jour est disponible elle est proposée immédiatement et non sous forme d'une option comme ici. Explication ?

avatar Sindanarie | 

@JoëlGloanec

Oui et non.
Tout dépend sur quel système tu veux être
Il y’a déjà eus un paquet d’articles là dessus.

avatar JoëlGloanec (non vérifié) | 

Et en résumé s'il te plait ?

avatar ssssteffff | 

@JoëlGloanec

En résumé désormais il est possible de choisir entre une branche de sécurité stable de la version N ou la version majeure suivante N+1. Il est donc possible d’opter pour la stabilité en conservant iOS 14 ou la nouveauté iOS 15.

Il me semble que ce n’était pas très clair pour le futur, lors de la sortie d’iOS 16, sera-t-il possible de conserver iOS 14 ou faudra-t-il migrer obligatoirement vers la dernière version d’iOS 15 ? Si quelqu’un a la réponse je suis preneur.

avatar r e m y | 

Même question sur la durée pendant laquelle Apple continuera de "signer" la version 14.8 pour permettre de conserver ce choix de mettre à jour en iOS14.8 ou mettre à niveau en iOS15.
Est-ce que ce sera possible pendant quelques semaines? Quelques mois? Ou jusqu'à la sortie d'iOS16 (avec un choix qui passera à iOS15.x ou iOS16)?

Je n'ai pas réussi à trouver la réponse

avatar Sindanarie | 

@JoëlGloanec

"Et en résumé s'il te plait ?"

Ah non tu demandes à ceux qui rédigent les articles.

Sinon tu payes

CONNEXION UTILISATEUR