Faille de sécurité : Safari pouvait activer la caméra sans votre autorisation
Le chercheur en sécurité Ryan Pickren a trouvé pas moins de sept failles « zero-day », c’est-à-dire des failles de sécurité totalement inconnues jusque-là, dans Safari. En exploitant trois de ces failles, il a réussi à créer un site qui, une fois affiché dans le navigateur d’Apple, activait la webcam d’un Mac ou la caméra avant d’un appareil iOS sans que l’utilisateur ne donne son autorisation.

Inutile de paniquer, ce chercheur a informé Apple en premier à la fin du mois de décembre 2019 et toutes les failles ont été comblées depuis. Les trois qui ont servi à la démonstration ont été corrigées avec Safari 13.0.5 sortie à la fin du mois de janvier et distribuée avec macOS 10.15.3 et iOS 13.3. Les autres failles de sécurité découvertes par Ryan Pickren étant moins graves, Apple a pris son temps, mais depuis Safari 13.1, sorti il y a quelques jours avec macOS 10.15.4 et iOS 13.4, elles sont comblées.
Si vous maintenez votre Mac, iPhone ou iPad à jour, vous n’avez donc plus aucune crainte à avoir. Et puisque ce chercheur en sécurité a suivi cette voie, Apple l’a récompensé avec un don de 75 000 $ dans le cadre de son programme bug bounty qui est désormais ouvert à tout le monde. C’est une belle somme, même si le programme prévoit jusqu’à un million de dollars pour les plus grosses failles de sécurité. Et quand on voit ce que cela donnait concrètement, on se dit que cette faille était quand même sérieuse1 :
Le chercheur en sécurité a publié un article détaillant sa technique pour arriver à contourner les règles de sécurité. Pour faire simple, il a utilisé le mécanisme de Safari qui autorise certains sites à utiliser la caméra pour créer un faux site qui se fait passer pour le site légitime. En clair, le navigateur d’Apple pensait que vous aviez ouvert une page de Skype et il reprenait les réglages de sécurité de ce site. Si vous aviez déjà utilisé Skype et autorisé Safari à activer la caméra, le faux site bénéficiait de la même permission.
C’est très malin et les explications complètes détaillent tout ce qu’il a fallu faire pour déjouer les garde-fous mis en place par Apple pour éviter précisément ce cas de figure. Comme pour beaucoup de faille de sécurité, ce chercheur a pensé à des cas de figure qui n’existent jamais en théorie et qui n’avaient ainsi pas été envisagés par les développeurs d’Apple. Par exemple, au lieu d’afficher un site en http
ou https
, il a utilisé un autre « scheme »2, en l’occurrence blob
qui sert parfois avec JavaScript.
Toute l’astuce du chercheur a été de duper Safari en évitant de charger la page web qui était fausse et qui aurait conduit le navigateur à détecter la supercherie et la bloquer. La manipulation assez complexe se fait en huit étapes, dont une qui implique de modifier l’historique du navigateur, une autre qui crée une iframe et encore une qui ouvre un pop-up dans cette iframe.

Il fallait y penser, mais c’est précisément pourquoi chercheur en sécurité est un métier. Et une fois que tout est en place, l’attaque fonctionne remarquablement bien, comme le prouve bien la vidéo envoyée par Ryan Pickren à Apple. Si vous avez encore une copie de Safari 13.0.4 ou antérieur qui traîne, vous pouvez tester la faille à cette adresse, en saisissant le mot de passe blahWrasse59
.
-
Et au passage, elle rappelle fort cette faille de sécurité liée à Zoom découverte l’été dernier qui avait conduit Apple à bloquer l’app à distance. ↩
-
Dans une URL, le scheme correspond à tout ce qui se trouve avant
://
. Les plus connus sonthttp
ethttps
bien sûr, mais vous en avez peut-être croisé d’autres :ftp
,mailto
ou encoretel
. ↩
« Si vous maintenez votre Mac, iPhone ou iPad à jour, vous n’avez donc plus aucune crainte à avoir. »
C’est une vision optimiste des choses. Je dirais plutôt que si on a déjà trouvé des failles c'est sûrement qu'il y en a d'autres, et que d'autres personnes arriveront sûrement à les trouver. Le scotch noir est toujours d'actualité...
@jt_69.V
Euh...le scotch noir sur la camera face id d’un iPhone...😁la faille marche sur iOs.
C'est pour ça que les caméras avant façon popup sont un véritable avantage. Tu sais précisément quand elle est active ou pas. Et tu n'as pas plus cette horreur noire en haut de l'écran.
@Calorifix
Ben sur macOS et iOS tu sais aussi précisément quand elle s’allume 😂
@jt_69.V
"Le scotch noir est toujours d'actualité..."
C'est la 1er chose que j'ai faite après avoir déballé mon Macbook Pro 16"
@pocketalex
Il y a une diode ;) et tu peux refuser l’accès à la caméra pour n’importe quel site depuis safari ou alors qu’il te le demande ;)
@Krysten2001
Ça peut toujours être piraté hein...
@Krysten2001
je vais faire simple : je n'ai aucune, mais franchement AUCUNE envie d'être filmé à mon insu
Pour faire de la Visio, j'ai un smartphone et un iPad, donc la caméra du MBP, je ne m'en sers PAS. Elle n'a aucun intérêt, et si elle était absente, je serais le plus heureux du monde, et en plus je n'aurais pas une épaisseur différente en haut que sur les coté, ce que je trouve proprement disgracieux
Donc la caméra, je la scotch direct. Je le fais depuis que j'ai vu une photo de Mark Zuckerberg et son MacBook Pro, avec scotch sur la caméra et scotch sur les enceintes là ou il y a les micros. Je me suis dis que si lui on lui a imposé du stoch ...c'est pas pour la déco.
J'ai pas envie de payer 2000€ à un connard qui m'aurait piraté et filmé suite à un hack, donc je me pose même pas la question de la diode, je mets un scotch direct et je suis tranquille
C'est aussi simple que ça
@pocketalex
Sur Mac directement quand la caméra est allumé la diode aussi car ils sont lié tous les deux pas sur l’os. La caméra ne peut pas être alimentée électriquement sans allumer la diode, donc si la caméra est utilisée on a obligatoirement la diode qui s'allume. Physiquement ça ne peut pas être autrement. Maintenant tu fais comme tu veux ;)
@armandgz123
Sur Mac c’est mécanique car directement que la caméra s’allume la diode aussi ils sont lié pas avec l’os comme sur iOS
@Krysten2001
La diode n’empêche pas le piratage... et elle n’est pas super visible non plus, surtout si l’iMac ou le mac est ouvert au bout de la pièce...
@armandgz123
Non mets ils ne savent pas la désactiver et je pense que si on a mit refuser tout court vu que la faille détourne la demande.
@jt_69.V
Perso la webcam ne me dérange pas tant que ça, je ne pense pas que nos tronches intéressent tant que ça, contrairement aux micros, plus sensibles à mon avis...
@dodomu
absolument, la caméra d’un appareil ne peut espionner que ce qu’elle voit et en prime la vidéo est toujours quelque chose d’assez lourd à uploader. Alors que e son, il est à tres grand angle et ne se verrait meme pas sur un forfait.
jusqu'au moment ou ta camera film quelque chose de tres compromettant (pro ou perso) ...et que tu reçois du chantage.
@vrts
De toute façon il y a une diode ;) et tu peux refuser l’accès à la caméra pour n’importe quel site depuis safari ou alors qu’il te le demande ;)
@Krysten2001
Lis l’article et après reviens nous voir avant de raconter des histoires
@en chanson
Ben oui je l’ai lu et quesqu’il ne va pas ?
Il y a une diode, oui. Mais une diode qui se désactive.
Pas sur Mac. La diode est alimentée par le même câble électrique que la caméra. Si la caméra est alimentée (pour pouvoir filmer), la diode s'allume obligatoirement. Pour désactiver la diode, il faut jouer du fer à souder pour couper physiquement son alimentation électrique (qui est la même que celle de la caméra)
@vrts
Le chantage ne fonctionne que si l’on cède.
Faut pas se laisser impressionner.
@Sindanárië
Se tripoter la nouille devant un site porno et recevoir des menaces de partage dans ton univers pro par exemple, doit être difficile quand même. 😅
@bugman
Non, t’as qu’à dire que c’est un montage
@bugman
Sans aller jusqu'a se "tripoter la nouille", je préfère ne pas être filmé quoi que le hacker filme, plutôt que de garder un périphérique compromettant ouvert et qui plus est inutilisé
Ceux qui l'utilisent ont la question à se poser. Moi, pas.
@bugman
T’imprimes la photo de Castaner, tu fais des trous à la place des yeux, mets des élastiques... et hop un joli masque pour te tripoter la nouille en toute impunité !
Comme ça le chantage il vas finir sur Twitter avec pleins de lol et de xptdr
Et t’auras peut être la chance de passer en boucle sur BFMTV ou Quotidien sur TMC
😬
@Sindanárië
A tester. 😂
Un peu moyen pour une marque qui fait payé un milliers d'euros un telephone parce que justement il est sécurisé... Je ne veux pas troller mais un téléphone à 150€ chez Android n'a pas ce genre de problème !
@guilpa
😂 ben si tu trolles..
@rolmeyer
OK peut être un peu, mais le fait est qu'un wiko est plus sécurisé, désolé mais c'est le cas il me semble de mon point de vue
@guilpa
On ne sait même pas si c’est plus sécurisé 😴😂😜 mais c’est les plus sécurisé mais il y a toujours une faille quelque part ;)
@guilpa
🤣 un wiko sécurisé... j’ai un Android comme deuxième telephone depuis 2014, avec des Nexus, puis un Samsung et puis un Nokia, euh non c’est pas sécurisé du tout, tu rêves. Mon gamin avait un Motorola E en étant petit, c’est absolument pas sécurisé, les jeux du Google store qui envoient des sms à des numéros surtaxés la nuit entre 1 h et 2 h du mat, y a que ça sur Android, pas iOs.
(me fait pas dire ce que j’ai pas dit, Apple est pas blanc blanc quand Apple laisse un jeu aussi basique et populaire de papertoss en 2010 pomper ton carnet d’adresse complet, qui passe sur les serveurs de l’éditeur du jeu...🤬 et Jobs était encore là, à nous dire qu’on tenait mal l’iPhone 🤣)
@rolmeyer
Ce sont donc les appli qui on un problème, mais les smartphone en eux même ?
@guilpa
Ben dans l’article on parle de Safari et iOs et macOs, et dans l’exemple que je cite (vécu par mon gamin) c’est le jeu vendu sur le Google Store et Android le problème. C’est jamais le téléphone le problème mais bien le soft qui le pilote.
@rolmeyer
Non c’est le mec qui le pilote.
@rolmeyer
les jeux du Google store qui envoient des sms à des numéros surtaxés la nuit entre 1 h et 2 h du mat, y a que ça sur Android, pas iOs.
Pendant que le gentil bambin innocent dort 😂😂😂
@rolmeyer
Aucun rapport, il faut revoir les autorisations acceptées aussi, et les apps installées... les gens deviennent complètement con à être enfermé dans la prison d’Apple...
@armandgz123
Il faut revoir les autorisations oui et non, les applications sur le play store ne sont pas assez contrôlé ça oui et qu’en plus pour installer l’appli tu es obliger d’accepter d’abord les autorisations
C'est pas une marque de pommes de terre Wiko?
@rolmeyer
Non il ne troll pas..
@guilpa
Tu es vraiment convaincu de tes dires ???
Un smartphone Android a 150€ ne reçoit peut-être 1 mise à jour là première année et encore voir pas du tout ! Dit moi ou est la sécurité ?
Un wiko 😂 ah oui la c’est sûr on touche le fond...
Soyons sérieux ! La plupart des flagship Android ont des mises à jours sur 3 voir 4 ans alors les bouses a 4 balles tu oublies...
Petit rappel, Android publie les mises à jours de l’OS ensuite c’est au constructeur de chaque marque de l’adapter et de la distribuer sur leur flotte... mais ça un coût et vu leur marge sur des prix bas ce n’est absolument pas rentable donc pas de mise à jour = appareil jetable !
@guilpa
Les Androïds sont des nids à malwares, lis tout les articles sur ce sujet.
Après peut importe que tu paie 1500€ ou non, c’est pas une question de prix. Ça reste une conception humaine avec de failles matériel et logiciel.
Tu peux acheter une Rolls Royce et avoir des problèmes de freins.. ;)
Si tu veux zéro risque, tu prend pas de téléphone, pas de voiture, pas d’avion, tu sors pas de chez toi, bref, tu ne fais rien 😅
@Trixie
Oula la remarque super bien construite. iOS est bien plus sécurisé et plus respectueux de la vie qu’android. Des failles il en aura toujours mais moyen qu’Android. Déjà le play store une catastrophe ensuite les constructeurs qui font que 2 ans de MAJ...
@Trixie
Tiens revoilà le sac à merde de Trixie. Après avoir craché sur le pays qui le nourrit, le voilà qu’il bave sur Apple. Tu dois être bien malheureux mon bonhomme. Si tu n’aimes pas Apple personne ne t’oblige à acheter ou à regarder les sites qui en parlent. Les iPhones sont chers ? Oui si tu veux le dernier haut de gamme, mais rappelle moi les prix des derniers Samsung ? Des derniers Huawei et même des derniers Xaomi ? Allez, retourne regarder CNews
@B0jackk
"Si tu veux zéro risque, tu prend pas de téléphone, pas de voiture, pas d’avion, tu sors pas de chez toi, bref, tu ne fais rien 😅"
Bref, t’es confiné ?
Comment ils copient Zoom
@huexley
Ceci dit Zoom sans activer la camera 😅😂🤣😇
L’article ne dit pas si la diode à côté s’allume ou pas. Je ne vois pas bien sur mon téléphone.
Sur Mac, la diode s'allume dès que la caméra est alimentée (c'est le cablage physique qui l'impose). Donc si la caméra est utilisée, la diode s'allume nécessairement
Par contre sur iPhone ou iPad, pas de diode quand la caméra est utilisée...
@SyMich
Il y a l’image caméra en rouge sur safari ;)
Pages