Ouvrir le menu principal

MacGeneration

Recherche

Apple et Google critiqués sur leur communication autour d'une importante faille de sécurité

Florian Innocente

vendredi 22 septembre 2023 à 15:00 • 18

AAPL

Début septembre, Apple et Google ont tous les deux publié un correctif pour un important défaut de sécurité dans leurs logiciels, activement exploité par des clients du NSO Group. Le problème est en réalité beaucoup plus étendu qu'il n'y paraissait de prime abord et les deux sociétés sont critiquées sur la manière dont elles ont communiqué séparément au lieu de se concerter.

Le 8 septembre, Apple mettait à jour en urgence tous ses systèmes d'exploitation du moment (elle le fera plus tard aussi pour les plus anciens) afin de boucher une faille exploitée par des clients de NSO Group. Elle avait été découverte par le Citizen Labs de Toronto. Un défaut avait été localisé dans Image I/O, la bibliothèque système qui permet aux OS d'Apple et aux logiciels tiers de manipuler des fichiers images. Un bug rendait possible l'extraction d'informations, d'un iPhone par exemple, simplement en envoyant une image vérolée à son propriétaire et sans même que celui-ci ait à l'ouvrir.

Sécurité : NSO et Apple continuent leur jeu du chat et de la souris

Sécurité : NSO et Apple continuent leur jeu du chat et de la souris

Trois jours plus tard, Google corrigeait un problème similaire dans Chromium. À la différence d'Apple il mentionnait un lien avec la librairie libwebp. Les équipes d'Apple et du Citizen Labs étaient créditées pour leur aide dans cette découverte.

Toutefois, Apple et Google ont enregistré ces failles de sécurité sous deux matricules différents : CVE-2023-41064 pour la première et CVE-2023-4863 pour le second. Et dans les deux cas, ils les ont liées à leurs produits (systèmes d'exploitation d'un côté, navigateur web de l'autre) plutôt qu'à la véritable origine du problème, à savoir la librairie libwebp qui décode le format d'image WebP. Google la cite, mais d'une manière qui laisse penser que c'est Chrome qui en faisait un usage maladroit.

Il eut été plus judicieux de pointer le véritable fautif expliquent les chercheurs en sécurité de Rezilion qui ont de forts soupçons sur le fait que ces failles partagent en réalité la même origine. Ni Apple, Ni Google, ni le Citizen Labs ne l'ont confirmé.

Car la librairie libwebp et ses différentes versions sont utilisées par un très large spectre d'applications et de système d'exploitation. Electron s'en sert également et, lui-même, est à la base de quantité d'applications. Cela va de Teams chez Microsoft à l'utilitaire Option+ de Logitech en passant par 1Password, Visual Studio Code, Notion, Skype, Signal, Twitch, Slack, Tidal, Bitwarden, etc… comme le détaille Ars Technica.

Google a déclaré que sa priorité allait à la correction de Chromium pour ceux qui l'utilisent. Et qu'il lui était impossible de savoir comment les autres éditeurs exploitaient le format WebP dans leurs logiciels. Mais pas d'explications sur l'absence de référence plus explicite à libwebp comme premier vecteur de la faille.

Identifier la souche exacte de ce bug de sécurité aiderait davantage les développeurs et chercheurs qui utilisent des outils automatisés pour ces vérifications. Dans le cas présent, s'ils se reposent sur une version corrigée de Chromium, par exemple, ils peuvent s'estimer hors de danger. Mais si leur logiciel utilise par ailleurs une version ancienne de libwebp, ils seront toujours confrontés à cette faille, sans le savoir.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Le prochain CEO d’Intel pourrait diviser le fondeur en plusieurs entreprises

12/12/2024 à 21:45

• 0


Kernel Panic : dans l’arrière-boutique des réparateurs indépendants

12/12/2024 à 18:30

• 2


Après Safari, Firefox va abandonner à son tour l’option Do Not Track

12/12/2024 à 16:00

• 5


Mots de passe affiche les mots de passe en grand sous iOS 18.2 et macOS 15.2

12/12/2024 à 14:37

• 17


Orion, Chrome, Firefox : Apple Pay arrive doucement sur les navigateurs tiers

12/12/2024 à 13:08

• 4


Apple aurait abandonné une puce surpuissante pour les Mac, en faveur d’une puce pour l’IA

12/12/2024 à 11:45

• 42


Promo : un MacBook Air 16 Go sous les 950 € 🆕

12/12/2024 à 11:10

• 4


Cadre centré, Desk View : le MacBook Air M4 pourrait avoir une webcam améliorée

12/12/2024 à 10:34

• 7


Apple Music est désormais distribué via Canal+ avec une remise de 30 %

12/12/2024 à 09:39


Apple célèbre la créativité (presque) infinie des Genmojis avec une publicité

12/12/2024 à 09:20

• 19


visionOS 2.2 disponible en version finale : le Vision Pro devient un moniteur ultra large pour le Mac

12/12/2024 à 08:57


Safari 18.2 peut créer un lien vers un passage spécifique sur une page web

12/12/2024 à 08:20

• 13


Correctifs de sécurité pour macOS Ventura, Sonoma et iPadOS 17

12/12/2024 à 07:10

• 0


Une panne massive en cours chez Meta

11/12/2024 à 21:15

• 29


Apple confirme les MacBook Air M4 dans la mise à jour de macOS

11/12/2024 à 21:00

• 19


Google lance Gemini 2.0, et vient embêter OpenAI

11/12/2024 à 20:30

• 21