Faille de sécurité : Safari pouvait activer la caméra sans votre autorisation

Nicolas Furno |

Le chercheur en sécurité Ryan Pickren a trouvé pas moins de sept failles « zero-day », c’est-à-dire des failles de sécurité totalement inconnues jusque-là, dans Safari. En exploitant trois de ces failles, il a réussi à créer un site qui, une fois affiché dans le navigateur d’Apple, activait la webcam d’un Mac ou la caméra avant d’un appareil iOS sans que l’utilisateur ne donne son autorisation.

Inutile de paniquer, ce chercheur a informé Apple en premier à la fin du mois de décembre 2019 et toutes les failles ont été comblées depuis. Les trois qui ont servi à la démonstration ont été corrigées avec Safari 13.0.5 sortie à la fin du mois de janvier et distribuée avec macOS 10.15.3 et iOS 13.3. Les autres failles de sécurité découvertes par Ryan Pickren étant moins graves, Apple a pris son temps, mais depuis Safari 13.1, sorti il y a quelques jours avec macOS 10.15.4 et iOS 13.4, elles sont comblées.

Si vous maintenez votre Mac, iPhone ou iPad à jour, vous n’avez donc plus aucune crainte à avoir. Et puisque ce chercheur en sécurité a suivi cette voie, Apple l’a récompensé avec un don de 75 000 $ dans le cadre de son programme bug bounty qui est désormais ouvert à tout le monde. C’est une belle somme, même si le programme prévoit jusqu’à un million de dollars pour les plus grosses failles de sécurité. Et quand on voit ce que cela donnait concrètement, on se dit que cette faille était quand même sérieuse1 :

La faille de sécurité permettait d’outrepasser les mesures de sécurité d’Apple en se faisant passer pour un autre site déjà autorisé par l’utilisateur, ici Skype.

Le chercheur en sécurité a publié un article détaillant sa technique pour arriver à contourner les règles de sécurité. Pour faire simple, il a utilisé le mécanisme de Safari qui autorise certains sites à utiliser la caméra pour créer un faux site qui se fait passer pour le site légitime. En clair, le navigateur d’Apple pensait que vous aviez ouvert une page de Skype et il reprenait les réglages de sécurité de ce site. Si vous aviez déjà utilisé Skype et autorisé Safari à activer la caméra, le faux site bénéficiait de la même permission.

C’est très malin et les explications complètes détaillent tout ce qu’il a fallu faire pour déjouer les garde-fous mis en place par Apple pour éviter précisément ce cas de figure. Comme pour beaucoup de faille de sécurité, ce chercheur a pensé à des cas de figure qui n’existent jamais en théorie et qui n’avaient ainsi pas été envisagés par les développeurs d’Apple. Par exemple, au lieu d’afficher un site en http ou https, il a utilisé un autre « scheme »2, en l’occurrence blob qui sert parfois avec JavaScript.

Toute l’astuce du chercheur a été de duper Safari en évitant de charger la page web qui était fausse et qui aurait conduit le navigateur à détecter la supercherie et la bloquer. La manipulation assez complexe se fait en huit étapes, dont une qui implique de modifier l’historique du navigateur, une autre qui crée une iframe et encore une qui ouvre un pop-up dans cette iframe.

Diagramme qui décrit les différentes étapes nécessaires pour tromper Safari.

Il fallait y penser, mais c’est précisément pourquoi chercheur en sécurité est un métier. Et une fois que tout est en place, l’attaque fonctionne remarquablement bien, comme le prouve bien la vidéo envoyée par Ryan Pickren à Apple. Si vous avez encore une copie de Safari 13.0.4 ou antérieur qui traîne, vous pouvez tester la faille à cette adresse, en saisissant le mot de passe blahWrasse59.


  1. Et au passage, elle rappelle fort cette faille de sécurité liée à Zoom découverte l’été dernier qui avait conduit Apple à bloquer l’app à distance.  ↩

  2. Dans une URL, le scheme correspond à tout ce qui se trouve avant ://. Les plus connus sont http et https bien sûr, mais vous en avez peut-être croisé d’autres : ftp, mailto ou encore tel.  ↩


avatar jt_69.V | 

« Si vous maintenez votre Mac, iPhone ou iPad à jour, vous n’avez donc plus aucune crainte à avoir. »

C’est une vision optimiste des choses. Je dirais plutôt que si on a déjà trouvé des failles c'est sûrement qu'il y en a d'autres, et que d'autres personnes arriveront sûrement à les trouver. Le scotch noir est toujours d'actualité...

avatar rolmeyer | 

@jt_69.V

Euh...le scotch noir sur la camera face id d’un iPhone...😁la faille marche sur iOs.

avatar Calorifix | 

C'est pour ça que les caméras avant façon popup sont un véritable avantage. Tu sais précisément quand elle est active ou pas. Et tu n'as pas plus cette horreur noire en haut de l'écran.

avatar Krysten2001 | 

@Calorifix

Ben sur macOS et iOS tu sais aussi précisément quand elle s’allume 😂

avatar pocketalex | 

@jt_69.V

"Le scotch noir est toujours d'actualité..."

C'est la 1er chose que j'ai faite après avoir déballé mon Macbook Pro 16"

avatar Krysten2001 | 

@pocketalex

Il y a une diode ;) et tu peux refuser l’accès à la caméra pour n’importe quel site depuis safari ou alors qu’il te le demande ;)

avatar armandgz123 | 

@Krysten2001

Ça peut toujours être piraté hein...

avatar pocketalex | 

@Krysten2001

je vais faire simple : je n'ai aucune, mais franchement AUCUNE envie d'être filmé à mon insu

Pour faire de la Visio, j'ai un smartphone et un iPad, donc la caméra du MBP, je ne m'en sers PAS. Elle n'a aucun intérêt, et si elle était absente, je serais le plus heureux du monde, et en plus je n'aurais pas une épaisseur différente en haut que sur les coté, ce que je trouve proprement disgracieux

Donc la caméra, je la scotch direct. Je le fais depuis que j'ai vu une photo de Mark Zuckerberg et son MacBook Pro, avec scotch sur la caméra et scotch sur les enceintes là ou il y a les micros. Je me suis dis que si lui on lui a imposé du stoch ...c'est pas pour la déco.

J'ai pas envie de payer 2000€ à un connard qui m'aurait piraté et filmé suite à un hack, donc je me pose même pas la question de la diode, je mets un scotch direct et je suis tranquille

C'est aussi simple que ça

avatar Krysten2001 | 

@pocketalex

Sur Mac directement quand la caméra est allumé la diode aussi car ils sont lié tous les deux pas sur l’os. La caméra ne peut pas être alimentée électriquement sans allumer la diode, donc si la caméra est utilisée on a obligatoirement la diode qui s'allume. Physiquement ça ne peut pas être autrement. Maintenant tu fais comme tu veux ;)

avatar Krysten2001 | 

@armandgz123
Sur Mac c’est mécanique car directement que la caméra s’allume la diode aussi ils sont lié pas avec l’os comme sur iOS

avatar armandgz123 | 

@Krysten2001

La diode n’empêche pas le piratage... et elle n’est pas super visible non plus, surtout si l’iMac ou le mac est ouvert au bout de la pièce...

avatar Krysten2001 | 

@armandgz123

Non mets ils ne savent pas la désactiver et je pense que si on a mit refuser tout court vu que la faille détourne la demande.

avatar dodomu | 

@jt_69.V

Perso la webcam ne me dérange pas tant que ça, je ne pense pas que nos tronches intéressent tant que ça, contrairement aux micros, plus sensibles à mon avis...

avatar raoolito | 

@dodomu

absolument, la caméra d’un appareil ne peut espionner que ce qu’elle voit et en prime la vidéo est toujours quelque chose d’assez lourd à uploader. Alors que e son, il est à tres grand angle et ne se verrait meme pas sur un forfait.

avatar vrts | 

jusqu'au moment ou ta camera film quelque chose de tres compromettant (pro ou perso) ...et que tu reçois du chantage.

avatar Krysten2001 | 

@vrts

De toute façon il y a une diode ;) et tu peux refuser l’accès à la caméra pour n’importe quel site depuis safari ou alors qu’il te le demande ;)

avatar en chanson | 

@Krysten2001

Lis l’article et après reviens nous voir avant de raconter des histoires

avatar Krysten2001 | 

@en chanson

Ben oui je l’ai lu et quesqu’il ne va pas ?

avatar Calorifix | 

Il y a une diode, oui. Mais une diode qui se désactive.

avatar SyMich | 

Pas sur Mac. La diode est alimentée par le même câble électrique que la caméra. Si la caméra est alimentée (pour pouvoir filmer), la diode s'allume obligatoirement. Pour désactiver la diode, il faut jouer du fer à souder pour couper physiquement son alimentation électrique (qui est la même que celle de la caméra)

avatar Sindanárië | 

@vrts

Le chantage ne fonctionne que si l’on cède.
Faut pas se laisser impressionner.

avatar bugman | 

@Sindanárië

Se tripoter la nouille devant un site porno et recevoir des menaces de partage dans ton univers pro par exemple, doit être difficile quand même. 😅

avatar armandgz123 | 

@bugman

Non, t’as qu’à dire que c’est un montage

avatar pocketalex | 

@bugman

Sans aller jusqu'a se "tripoter la nouille", je préfère ne pas être filmé quoi que le hacker filme, plutôt que de garder un périphérique compromettant ouvert et qui plus est inutilisé

Ceux qui l'utilisent ont la question à se poser. Moi, pas.

avatar Sindanárië | 

@bugman

T’imprimes la photo de Castaner, tu fais des trous à la place des yeux, mets des élastiques... et hop un joli masque pour te tripoter la nouille en toute impunité !
Comme ça le chantage il vas finir sur Twitter avec pleins de lol et de xptdr

Et t’auras peut être la chance de passer en boucle sur BFMTV ou Quotidien sur TMC

😬

avatar bugman | 

@Sindanárië

A tester. 😂

avatar guilpa | 

Un peu moyen pour une marque qui fait payé un milliers d'euros un telephone parce que justement il est sécurisé... Je ne veux pas troller mais un téléphone à 150€ chez Android n'a pas ce genre de problème !

avatar rolmeyer | 

@guilpa

😂 ben si tu trolles..

avatar guilpa | 

@rolmeyer

OK peut être un peu, mais le fait est qu'un wiko est plus sécurisé, désolé mais c'est le cas il me semble de mon point de vue

avatar Krysten2001 | 

@guilpa

On ne sait même pas si c’est plus sécurisé 😴😂😜 mais c’est les plus sécurisé mais il y a toujours une faille quelque part ;)

avatar rolmeyer | 

@guilpa

🤣 un wiko sécurisé... j’ai un Android comme deuxième telephone depuis 2014, avec des Nexus, puis un Samsung et puis un Nokia, euh non c’est pas sécurisé du tout, tu rêves. Mon gamin avait un Motorola E en étant petit, c’est absolument pas sécurisé, les jeux du Google store qui envoient des sms à des numéros surtaxés la nuit entre 1 h et 2 h du mat, y a que ça sur Android, pas iOs.
(me fait pas dire ce que j’ai pas dit, Apple est pas blanc blanc quand Apple laisse un jeu aussi basique et populaire de papertoss en 2010 pomper ton carnet d’adresse complet, qui passe sur les serveurs de l’éditeur du jeu...🤬 et Jobs était encore là, à nous dire qu’on tenait mal l’iPhone 🤣)

avatar guilpa | 

@rolmeyer

Ce sont donc les appli qui on un problème, mais les smartphone en eux même ?

avatar rolmeyer | 

@guilpa

Ben dans l’article on parle de Safari et iOs et macOs, et dans l’exemple que je cite (vécu par mon gamin) c’est le jeu vendu sur le Google Store et Android le problème. C’est jamais le téléphone le problème mais bien le soft qui le pilote.

avatar Adodane | 

@rolmeyer

Non c’est le mec qui le pilote.

avatar pagaupa | 

@rolmeyer

les jeux du Google store qui envoient des sms à des numéros surtaxés la nuit entre 1 h et 2 h du mat, y a que ça sur Android, pas iOs.

Pendant que le gentil bambin innocent dort 😂😂😂

avatar armandgz123 | 

@rolmeyer

Aucun rapport, il faut revoir les autorisations acceptées aussi, et les apps installées... les gens deviennent complètement con à être enfermé dans la prison d’Apple...

avatar Krysten2001 | 

@armandgz123

Il faut revoir les autorisations oui et non, les applications sur le play store ne sont pas assez contrôlé ça oui et qu’en plus pour installer l’appli tu es obliger d’accepter d’abord les autorisations

avatar Castio | 

C'est pas une marque de pommes de terre Wiko?

avatar pagaupa | 

@rolmeyer

Non il ne troll pas..

avatar MacWare | 

@guilpa

Tu es vraiment convaincu de tes dires ???
Un smartphone Android a 150€ ne reçoit peut-être 1 mise à jour là première année et encore voir pas du tout ! Dit moi ou est la sécurité ?
Un wiko 😂 ah oui la c’est sûr on touche le fond...

Soyons sérieux ! La plupart des flagship Android ont des mises à jours sur 3 voir 4 ans alors les bouses a 4 balles tu oublies...
Petit rappel, Android publie les mises à jours de l’OS ensuite c’est au constructeur de chaque marque de l’adapter et de la distribuer sur leur flotte... mais ça un coût et vu leur marge sur des prix bas ce n’est absolument pas rentable donc pas de mise à jour = appareil jetable !

avatar B0jackk | 

@guilpa

Les Androïds sont des nids à malwares, lis tout les articles sur ce sujet.

Après peut importe que tu paie 1500€ ou non, c’est pas une question de prix. Ça reste une conception humaine avec de failles matériel et logiciel.

Tu peux acheter une Rolls Royce et avoir des problèmes de freins.. ;)

Si tu veux zéro risque, tu prend pas de téléphone, pas de voiture, pas d’avion, tu sors pas de chez toi, bref, tu ne fais rien 😅

avatar Trixie | 
[Modéré. MB]
avatar Krysten2001 | 

@Trixie

Oula la remarque super bien construite. iOS est bien plus sécurisé et plus respectueux de la vie qu’android. Des failles il en aura toujours mais moyen qu’Android. Déjà le play store une catastrophe ensuite les constructeurs qui font que 2 ans de MAJ...

avatar Travis_Scott | 

@Trixie

Tiens revoilà le sac à merde de Trixie. Après avoir craché sur le pays qui le nourrit, le voilà qu’il bave sur Apple. Tu dois être bien malheureux mon bonhomme. Si tu n’aimes pas Apple personne ne t’oblige à acheter ou à regarder les sites qui en parlent. Les iPhones sont chers ? Oui si tu veux le dernier haut de gamme, mais rappelle moi les prix des derniers Samsung ? Des derniers Huawei et même des derniers Xaomi ? Allez, retourne regarder CNews

avatar pat3 | 

@B0jackk

"Si tu veux zéro risque, tu prend pas de téléphone, pas de voiture, pas d’avion, tu sors pas de chez toi, bref, tu ne fais rien 😅"

Bref, t’es confiné ?

avatar huexley | 

Comment ils copient Zoom

avatar DG33 | 

@huexley

Ceci dit Zoom sans activer la camera 😅😂🤣😇

avatar xDave | 

L’article ne dit pas si la diode à côté s’allume ou pas. Je ne vois pas bien sur mon téléphone.

avatar SyMich | 

Sur Mac, la diode s'allume dès que la caméra est alimentée (c'est le cablage physique qui l'impose). Donc si la caméra est utilisée, la diode s'allume nécessairement

Par contre sur iPhone ou iPad, pas de diode quand la caméra est utilisée...

avatar Krysten2001 | 

@SyMich

Il y a l’image caméra en rouge sur safari ;)

Pages

CONNEXION UTILISATEUR