Faille de sécurité : Safari pouvait activer la caméra sans votre autorisation

Nicolas Furno |

Le chercheur en sécurité Ryan Pickren a trouvé pas moins de sept failles « zero-day », c’est-à-dire des failles de sécurité totalement inconnues jusque-là, dans Safari. En exploitant trois de ces failles, il a réussi à créer un site qui, une fois affiché dans le navigateur d’Apple, activait la webcam d’un Mac ou la caméra avant d’un appareil iOS sans que l’utilisateur ne donne son autorisation.

Inutile de paniquer, ce chercheur a informé Apple en premier à la fin du mois de décembre 2019 et toutes les failles ont été comblées depuis. Les trois qui ont servi à la démonstration ont été corrigées avec Safari 13.0.5 sortie à la fin du mois de janvier et distribuée avec macOS 10.15.3 et iOS 13.3. Les autres failles de sécurité découvertes par Ryan Pickren étant moins graves, Apple a pris son temps, mais depuis Safari 13.1, sorti il y a quelques jours avec macOS 10.15.4 et iOS 13.4, elles sont comblées.

Si vous maintenez votre Mac, iPhone ou iPad à jour, vous n’avez donc plus aucune crainte à avoir. Et puisque ce chercheur en sécurité a suivi cette voie, Apple l’a récompensé avec un don de 75 000 $ dans le cadre de son programme bug bounty qui est désormais ouvert à tout le monde. C’est une belle somme, même si le programme prévoit jusqu’à un million de dollars pour les plus grosses failles de sécurité. Et quand on voit ce que cela donnait concrètement, on se dit que cette faille était quand même sérieuse1 :

La faille de sécurité permettait d’outrepasser les mesures de sécurité d’Apple en se faisant passer pour un autre site déjà autorisé par l’utilisateur, ici Skype.

Le chercheur en sécurité a publié un article détaillant sa technique pour arriver à contourner les règles de sécurité. Pour faire simple, il a utilisé le mécanisme de Safari qui autorise certains sites à utiliser la caméra pour créer un faux site qui se fait passer pour le site légitime. En clair, le navigateur d’Apple pensait que vous aviez ouvert une page de Skype et il reprenait les réglages de sécurité de ce site. Si vous aviez déjà utilisé Skype et autorisé Safari à activer la caméra, le faux site bénéficiait de la même permission.

C’est très malin et les explications complètes détaillent tout ce qu’il a fallu faire pour déjouer les garde-fous mis en place par Apple pour éviter précisément ce cas de figure. Comme pour beaucoup de faille de sécurité, ce chercheur a pensé à des cas de figure qui n’existent jamais en théorie et qui n’avaient ainsi pas été envisagés par les développeurs d’Apple. Par exemple, au lieu d’afficher un site en http ou https, il a utilisé un autre « scheme »2, en l’occurrence blob qui sert parfois avec JavaScript.

Toute l’astuce du chercheur a été de duper Safari en évitant de charger la page web qui était fausse et qui aurait conduit le navigateur à détecter la supercherie et la bloquer. La manipulation assez complexe se fait en huit étapes, dont une qui implique de modifier l’historique du navigateur, une autre qui crée une iframe et encore une qui ouvre un pop-up dans cette iframe.

Diagramme qui décrit les différentes étapes nécessaires pour tromper Safari.

Il fallait y penser, mais c’est précisément pourquoi chercheur en sécurité est un métier. Et une fois que tout est en place, l’attaque fonctionne remarquablement bien, comme le prouve bien la vidéo envoyée par Ryan Pickren à Apple. Si vous avez encore une copie de Safari 13.0.4 ou antérieur qui traîne, vous pouvez tester la faille à cette adresse, en saisissant le mot de passe blahWrasse59.


  1. Et au passage, elle rappelle fort cette faille de sécurité liée à Zoom découverte l’été dernier qui avait conduit Apple à bloquer l’app à distance.  ↩

  2. Dans une URL, le scheme correspond à tout ce qui se trouve avant ://. Les plus connus sont http et https bien sûr, mais vous en avez peut-être croisé d’autres : ftp, mailto ou encore tel.  ↩

avatar jt_69.V | 

« Si vous maintenez votre Mac, iPhone ou iPad à jour, vous n’avez donc plus aucune crainte à avoir. »

C’est une vision optimiste des choses. Je dirais plutôt que si on a déjà trouvé des failles c'est sûrement qu'il y en a d'autres, et que d'autres personnes arriveront sûrement à les trouver. Le scotch noir est toujours d'actualité...

avatar rolmeyer | 

@jt_69.V

Euh...le scotch noir sur la camera face id d’un iPhone...😁la faille marche sur iOs.

avatar Calorifix | 

C'est pour ça que les caméras avant façon popup sont un véritable avantage. Tu sais précisément quand elle est active ou pas. Et tu n'as pas plus cette horreur noire en haut de l'écran.

avatar Krysten2001 | 

@Calorifix

Ben sur macOS et iOS tu sais aussi précisément quand elle s’allume 😂

avatar pocketalex | 

@jt_69.V

"Le scotch noir est toujours d'actualité..."

C'est la 1er chose que j'ai faite après avoir déballé mon Macbook Pro 16"

avatar Krysten2001 | 

@pocketalex

Il y a une diode ;) et tu peux refuser l’accès à la caméra pour n’importe quel site depuis safari ou alors qu’il te le demande ;)

avatar armandgz123 | 

@Krysten2001

Ça peut toujours être piraté hein...

avatar pocketalex | 

@Krysten2001

je vais faire simple : je n'ai aucune, mais franchement AUCUNE envie d'être filmé à mon insu

Pour faire de la Visio, j'ai un smartphone et un iPad, donc la caméra du MBP, je ne m'en sers PAS. Elle n'a aucun intérêt, et si elle était absente, je serais le plus heureux du monde, et en plus je n'aurais pas une épaisseur différente en haut que sur les coté, ce que je trouve proprement disgracieux

Donc la caméra, je la scotch direct. Je le fais depuis que j'ai vu une photo de Mark Zuckerberg et son MacBook Pro, avec scotch sur la caméra et scotch sur les enceintes là ou il y a les micros. Je me suis dis que si lui on lui a imposé du stoch ...c'est pas pour la déco.

J'ai pas envie de payer 2000€ à un connard qui m'aurait piraté et filmé suite à un hack, donc je me pose même pas la question de la diode, je mets un scotch direct et je suis tranquille

C'est aussi simple que ça

avatar Krysten2001 | 

@pocketalex

Sur Mac directement quand la caméra est allumé la diode aussi car ils sont lié tous les deux pas sur l’os. La caméra ne peut pas être alimentée électriquement sans allumer la diode, donc si la caméra est utilisée on a obligatoirement la diode qui s'allume. Physiquement ça ne peut pas être autrement. Maintenant tu fais comme tu veux ;)

avatar Krysten2001 | 

@armandgz123
Sur Mac c’est mécanique car directement que la caméra s’allume la diode aussi ils sont lié pas avec l’os comme sur iOS

avatar armandgz123 | 

@Krysten2001

La diode n’empêche pas le piratage... et elle n’est pas super visible non plus, surtout si l’iMac ou le mac est ouvert au bout de la pièce...

avatar Krysten2001 | 

@armandgz123

Non mets ils ne savent pas la désactiver et je pense que si on a mit refuser tout court vu que la faille détourne la demande.

avatar dodomu | 

@jt_69.V

Perso la webcam ne me dérange pas tant que ça, je ne pense pas que nos tronches intéressent tant que ça, contrairement aux micros, plus sensibles à mon avis...

avatar raoolito | 

@dodomu

absolument, la caméra d’un appareil ne peut espionner que ce qu’elle voit et en prime la vidéo est toujours quelque chose d’assez lourd à uploader. Alors que e son, il est à tres grand angle et ne se verrait meme pas sur un forfait.

avatar vrts | 

jusqu'au moment ou ta camera film quelque chose de tres compromettant (pro ou perso) ...et que tu reçois du chantage.

avatar Krysten2001 | 

@vrts

De toute façon il y a une diode ;) et tu peux refuser l’accès à la caméra pour n’importe quel site depuis safari ou alors qu’il te le demande ;)

avatar en chanson | 

@Krysten2001

Lis l’article et après reviens nous voir avant de raconter des histoires

avatar Krysten2001 | 

@en chanson

Ben oui je l’ai lu et quesqu’il ne va pas ?

avatar Calorifix | 

Il y a une diode, oui. Mais une diode qui se désactive.

avatar SyMich | 

Pas sur Mac. La diode est alimentée par le même câble électrique que la caméra. Si la caméra est alimentée (pour pouvoir filmer), la diode s'allume obligatoirement. Pour désactiver la diode, il faut jouer du fer à souder pour couper physiquement son alimentation électrique (qui est la même que celle de la caméra)

avatar Sindanárië | 

@vrts

Le chantage ne fonctionne que si l’on cède.
Faut pas se laisser impressionner.

avatar bugman | 

@Sindanárië

Se tripoter la nouille devant un site porno et recevoir des menaces de partage dans ton univers pro par exemple, doit être difficile quand même. 😅

avatar armandgz123 | 

@bugman

Non, t’as qu’à dire que c’est un montage

avatar pocketalex | 

@bugman

Sans aller jusqu'a se "tripoter la nouille", je préfère ne pas être filmé quoi que le hacker filme, plutôt que de garder un périphérique compromettant ouvert et qui plus est inutilisé

Ceux qui l'utilisent ont la question à se poser. Moi, pas.

avatar Sindanárië | 

@bugman

T’imprimes la photo de Castaner, tu fais des trous à la place des yeux, mets des élastiques... et hop un joli masque pour te tripoter la nouille en toute impunité !
Comme ça le chantage il vas finir sur Twitter avec pleins de lol et de xptdr

Et t’auras peut être la chance de passer en boucle sur BFMTV ou Quotidien sur TMC

😬

Pages

CONNEXION UTILISATEUR