Apple et Google critiqués sur leur communication autour d'une importante faille de sécurité
Début septembre, Apple et Google ont tous les deux publié un correctif pour un important défaut de sécurité dans leurs logiciels, activement exploité par des clients du NSO Group. Le problème est en réalité beaucoup plus étendu qu'il n'y paraissait de prime abord et les deux sociétés sont critiquées sur la manière dont elles ont communiqué séparément au lieu de se concerter.
Le 8 septembre, Apple mettait à jour en urgence tous ses systèmes d'exploitation du moment (elle le fera plus tard aussi pour les plus anciens) afin de boucher une faille exploitée par des clients de NSO Group. Elle avait été découverte par le Citizen Labs de Toronto. Un défaut avait été localisé dans Image I/O, la bibliothèque système qui permet aux OS d'Apple et aux logiciels tiers de manipuler des fichiers images. Un bug rendait possible l'extraction d'informations, d'un iPhone par exemple, simplement en envoyant une image vérolée à son propriétaire et sans même que celui-ci ait à l'ouvrir.
Sécurité : NSO et Apple continuent leur jeu du chat et de la souris
Trois jours plus tard, Google corrigeait un problème similaire dans Chromium. À la différence d'Apple il mentionnait un lien avec la librairie libwebp. Les équipes d'Apple et du Citizen Labs étaient créditées pour leur aide dans cette découverte.
Toutefois, Apple et Google ont enregistré ces failles de sécurité sous deux matricules différents : CVE-2023-41064 pour la première et CVE-2023-4863 pour le second. Et dans les deux cas, ils les ont liées à leurs produits (systèmes d'exploitation d'un côté, navigateur web de l'autre) plutôt qu'à la véritable origine du problème, à savoir la librairie libwebp qui décode le format d'image WebP. Google la cite, mais d'une manière qui laisse penser que c'est Chrome qui en faisait un usage maladroit.
Il eut été plus judicieux de pointer le véritable fautif expliquent les chercheurs en sécurité de Rezilion qui ont de forts soupçons sur le fait que ces failles partagent en réalité la même origine. Ni Apple, Ni Google, ni le Citizen Labs ne l'ont confirmé.
Car la librairie libwebp et ses différentes versions sont utilisées par un très large spectre d'applications et de système d'exploitation. Electron s'en sert également et, lui-même, est à la base de quantité d'applications. Cela va de Teams chez Microsoft à l'utilitaire Option+ de Logitech en passant par 1Password, Visual Studio Code, Notion, Skype, Signal, Twitch, Slack, Tidal, Bitwarden, etc… comme le détaille Ars Technica.
Google a déclaré que sa priorité allait à la correction de Chromium pour ceux qui l'utilisent. Et qu'il lui était impossible de savoir comment les autres éditeurs exploitaient le format WebP dans leurs logiciels. Mais pas d'explications sur l'absence de référence plus explicite à libwebp comme premier vecteur de la faille.
Identifier la souche exacte de ce bug de sécurité aiderait davantage les développeurs et chercheurs qui utilisent des outils automatisés pour ces vérifications. Dans le cas présent, s'ils se reposent sur une version corrigée de Chromium, par exemple, ils peuvent s'estimer hors de danger. Mais si leur logiciel utilise par ailleurs une version ancienne de libwebp, ils seront toujours confrontés à cette faille, sans le savoir.
Faut-il encore s’étonner de ce genre de news ? 🤷♂️
On attend avec impatience les gens qui ont payé une fortune leur bijou en disant que la sécurité n'a pas de prix...
@debione
Vous semblez avoir des problèmes de compréhension ou alors la plus grande mauvaise foi.
@debione
Confondre sécurité et confidentialité 😂😂😂
@Baptiste_nv18
Je ne pense pas qu'il confonde mais la facilité avec laquelle NSO trouve toujours des nouvelles failles pour accéder à tout ce qui se trouve sur nos iPhone met à mal le slogan "ce qui est sur l'iPhone reste sur l'iPhone".
@r e m y | :
Celebrit et NSO démontre depuis plus de 10 ans qu'il n'y a pas de différence entre un smartphone @ 1500.- et un a 80.- niveau sécurité (quelque soit l'os)... Ca sert à rien de payer plus pour cela.
Et pour faire plaisir @baptiste_nv18, pour la confidentialité des données, Apple fait comme Google, elle garde tout pour elle et n'utilise que des segments d'utilisateurs complètement anonymisé pour faire le plus d'argent possible.
@debione
🤣 quelle naïveté... Google ne vit quasi QUE des données utilisateurs car c'est 80% des résultats.
Le top étant cette poubelle de YouTube qui non seulement ponctionne tout mais ne se gêne pas p OK pour diffuser des publicités totalement mensongères.
Est-ce que Debione dit autre chose?
Il dit juste qu'Apple fait exactement pareil que Google en matière de valorisation de toutes les données collectées pour vendre des encarts publicitaires (même si c'est à une échelle moindre)
@r e m y | :
Je dirais que Apple utilise encore différemment les données qu'elle récolte, et elle en récolte encore plus que Google (en dehors des Pixel ou Google reprend sans doute la main).
Elle récolte beaucoup de log, ce qui lui permet de savoir par exemple comment dimensionner les batteries en fonction des législations (ce serait con pour eux que la batterie ne tienne que 1 an ou 4 en utilisation normale), de savoir par exemple comment rechargent les clients (petites recharge toute la journée, grosse recharge en heure nocturne,...) ce qui influera sur la puissance de charge et de savoir par exemple si il est temps de sortir une fonction charge rapide ou pas, de savoir si le wifi est suffisant ou si il faudra changer la puce et en mettre une plus récente, plus une infinité de chose...
Du moment que l'on utilise un appareil connecté, on nous désosse, pour des motifs mercantiles.
Ce que l'on peut dire, c'est que ces sociétés ont les moyens techniques par exemple de savoir notre rythme cardiaque en fonction d'une page internet consutée, ou face à tel ou tel monument/paysage. Et si ces sociétés ont les moyens techniques (qu'elle n'utilisent peut-être pas entièrement) les "hackers" aussi.
@debione : mec, qu’est-ce que ça peut te foutre ce que font les autres de leur argent?! C’est pas le tien, t’as rien à dire et tes conseils, ça ne vaudrait même pas coup de se torcher avec!
Ils sont relous les petits schtroumpfs à lunettes à toujours vouloir nous expliquer ce qu’ils feraient à notre place avec notre argent. On dirait les politiques tient!
@Captain Bumper | :
Mais ou ai-je donc dit que tu ne faisais pas ce que tu voulais avec ton pognon???
Je dis juste que l'argument de la sécurité est caduque quel que soit la somme dépensée...
Alors clair que si tu t'inventes des scénarios rien que pour toi, tu vas pas saisir grand chose au monde qui t'entoure.
@debione
« On attend avec impatience les gens qui ont payé une fortune pour blablabla… » y a bien un jugement négatif à peine voilé sur le fait que d’autres ont dépensé des fortunes et le justifie par un argument irrecevable à tes yeux. Donc, si en effet tu comprends même pas ce que tu écris, faut t’abstenir (en même temps ta production ici n’élève guère le niveau la plupart du temps).
In fine, peu importe qu’on ait (soi-disant) la même chose à 400€ qu’à 1500€, les gens s’en cognent de ton avis et de tes conseils.
Captain Bumper |
Et je m'en cogne que tu t'en cognes...
Avec tes principes on va pas aller loin...
Tu écris sur un forum public, tu reçois des réponses publiques...
Si tu t'en cognes réellement, tu ne me répondrais pas, je ne réponds pas au gens dont je me cogne... Si tu m'as répondu, c'est que quelque part j'ai tapé juste... Ceux qui s'en cognent réellement (et c'est leur plus grand droit) ne m'ont pas répondu, parce que justement ils s'en cognent...
@debione
Mec, arrête de détourner le problème avec ta psychologie de comptoir, déjà que tu débarques avec tes histoires d’attendre les arguments de ceux qui ont selon toi surpayé la sécurité de leur iPhone, c’est manifestement toi qui a un problème pour vouloir te mêler de ce que font et achètent les autres.
T’as tapé juste de quoi? À part encore une fois prouver la vacuité de ton propos? Parce que si tu t’en cognes, commence par appliquer tes propres préceptes : ne réponds pas. Commence même avant et vient pas donner ton avis sur ce qu’achètent les autres et sur les arguments qu’ils donnent pour justifier leur achat (si tant est qu’ils aient à justifier quoique ce soit). C’est lourds les envieux qui critiquent le choix des autres « parce que ouin ouin cé du MaQuetInneG apPeule cé des essecrOqUes ki VendE la méMe meRd ke LeS sHinoa À 200€ vou vOu fétE pIjoneR ». Ferme juste ta bouche et laisse les gens tranquilles. Et si tu peux pas te payer un iPhone chiale pas et bave pas sur ceux qui peuvent….
@Captain Bumper
Impressionnant.
Je ne pensais pas utiliser un jour la fonctionnalité de bloquage d’un pseudo : tous les avis peuvent faire réfléchir.
Sur le premier point, je me suis trompé.
@hptroll
Ravi d’avoir pu t’aider! 👍🏻
@ r e m y
la facilité avec laquelle NSO trouve toujours des nouvelles failles pour accéder à tout ce qui se trouve sur nos iPhone met à mal le slogan "ce qui est sur l'iPhone reste sur l'iPhone"
La « facilité »... mais oui bien sûr.
Tssss. Je n'en dirais pas plus. 🧐
@Baptiste_nv18
L'un dépend de l'autre. Sans sécurité , confidentialité nulle.
Sur la forme il n'a pas tort.
Les éditeurs privilégient sans arrêt les nouveautés plutôt que la sécurité des appareils.. Personnellement j'en ai rien à faire d'avoir une nouvelle version d'os tous les ans pour des micros améliorations . Ce que je veux c'est avoir un OS sécure et qui lance des applications. Point barre .
Car le smartphone permet de faire des transactions financières et de converser avec des gens. Le cœur de nos activités.
Il est complétement aberrant qu'une société NSO, ici, profite depuis des années , oui des années des failles du système. Et elle ne doit pas être la seule..