Ouvrir le menu principal

MacGeneration

Recherche

Apple et Google critiqués sur leur communication autour d'une importante faille de sécurité

Florian Innocente

vendredi 22 septembre 2023 à 15:00 • 18

AAPL

Début septembre, Apple et Google ont tous les deux publié un correctif pour un important défaut de sécurité dans leurs logiciels, activement exploité par des clients du NSO Group. Le problème est en réalité beaucoup plus étendu qu'il n'y paraissait de prime abord et les deux sociétés sont critiquées sur la manière dont elles ont communiqué séparément au lieu de se concerter.

Le 8 septembre, Apple mettait à jour en urgence tous ses systèmes d'exploitation du moment (elle le fera plus tard aussi pour les plus anciens) afin de boucher une faille exploitée par des clients de NSO Group. Elle avait été découverte par le Citizen Labs de Toronto. Un défaut avait été localisé dans Image I/O, la bibliothèque système qui permet aux OS d'Apple et aux logiciels tiers de manipuler des fichiers images. Un bug rendait possible l'extraction d'informations, d'un iPhone par exemple, simplement en envoyant une image vérolée à son propriétaire et sans même que celui-ci ait à l'ouvrir.

Sécurité : NSO et Apple continuent leur jeu du chat et de la souris

Sécurité : NSO et Apple continuent leur jeu du chat et de la souris

Trois jours plus tard, Google corrigeait un problème similaire dans Chromium. À la différence d'Apple il mentionnait un lien avec la librairie libwebp. Les équipes d'Apple et du Citizen Labs étaient créditées pour leur aide dans cette découverte.

Toutefois, Apple et Google ont enregistré ces failles de sécurité sous deux matricules différents : CVE-2023-41064 pour la première et CVE-2023-4863 pour le second. Et dans les deux cas, ils les ont liées à leurs produits (systèmes d'exploitation d'un côté, navigateur web de l'autre) plutôt qu'à la véritable origine du problème, à savoir la librairie libwebp qui décode le format d'image WebP. Google la cite, mais d'une manière qui laisse penser que c'est Chrome qui en faisait un usage maladroit.

Il eut été plus judicieux de pointer le véritable fautif expliquent les chercheurs en sécurité de Rezilion qui ont de forts soupçons sur le fait que ces failles partagent en réalité la même origine. Ni Apple, Ni Google, ni le Citizen Labs ne l'ont confirmé.

Car la librairie libwebp et ses différentes versions sont utilisées par un très large spectre d'applications et de système d'exploitation. Electron s'en sert également et, lui-même, est à la base de quantité d'applications. Cela va de Teams chez Microsoft à l'utilitaire Option+ de Logitech en passant par 1Password, Visual Studio Code, Notion, Skype, Signal, Twitch, Slack, Tidal, Bitwarden, etc… comme le détaille Ars Technica.

Google a déclaré que sa priorité allait à la correction de Chromium pour ceux qui l'utilisent. Et qu'il lui était impossible de savoir comment les autres éditeurs exploitaient le format WebP dans leurs logiciels. Mais pas d'explications sur l'absence de référence plus explicite à libwebp comme premier vecteur de la faille.

Identifier la souche exacte de ce bug de sécurité aiderait davantage les développeurs et chercheurs qui utilisent des outils automatisés pour ces vérifications. Dans le cas présent, s'ils se reposent sur une version corrigée de Chromium, par exemple, ils peuvent s'estimer hors de danger. Mais si leur logiciel utilise par ailleurs une version ancienne de libwebp, ils seront toujours confrontés à cette faille, sans le savoir.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Microsoft augmente les prix des Xbox, de leurs manettes et de leurs jeux

16:05

• 17


MacBook Air M4 : la chute des prix se poursuit encore sur ce nouvel incontournable 🆕

15:30

• 50


Profitez de Microsoft Office à petit prix pendant les French Days 2025 📍

15:20

• 0


Nos trucs et astuces pour mieux utiliser Apple Pay sur votre iPhone

15:20

• 23


French Days : le très robuste SSD externe Samsung T7 Shield 2 To à 169 € (- 23 %)

11:30

• 6


French Days : Orange et Sosh suppriment les frais de mise en service qui venaient d’être ajoutés

11:00

• 19


Gabriel Attal souhaite limiter drastiquement l’accès des mineurs aux réseaux sociaux, en imitant la Chine

10:30

• 56


Apple mord la poussière face à Epic, mais ne rend pas les armes

10:00

• 50


French Days : CyberGhost, le meilleur VPN pour Mac à 2,03 € par mois (et franchement, vous auriez tort de vous en priver) 📍

30/04/2025 à 23:47

• 0


Google : NotebookLM génère des podcasts en français à partir de vos documents

30/04/2025 à 16:24

• 17


Raycast arrive sur l’iPhone, essentiellement pour les fonctions liées à l’IA

30/04/2025 à 15:06

• 4


Free Pro passe à 8 Gb/s en symétrique pour tous les clients, mêmes les anciens

30/04/2025 à 13:30

• 23


Voler une voiture ? Jamais ! Utiliser une police sans autorisation sur des DVD ? Toujours

30/04/2025 à 12:34

• 37


Starlink offre l'antenne dans certains pays si vous vous engagez pour un an

30/04/2025 à 11:45

• 49


B&You ajoute des frais de résiliation sur tous ses forfaits

30/04/2025 à 11:28

• 66


Un prix canon sur les iPad Air M3 : 530 € (-189 €) ! L'iPad Pro M4 à 899,99 € !

30/04/2025 à 09:00

• 13