Excédé par Apple, un chercheur en sécurité rend publique une faille de sécurité de macOS

Mickaël Bazoge |

En février, le chercheur en sécurité Jeff Johnson envoyait à Apple un rapport sur une faille de sécurité dans macOS Mojave. Huit mois plus tard, ne voyant rien venir de la part de Cupertino et constatant que la vulnérabilité est maintenant présente dans Catalina, de guerre lasse il a décidé de balancer les détails de sa découverte sur son blog.

La faille permet de contourner les mesures de protection de macOS, censées empêcher une application malveillante d'espionner l'utilisateur et son usage du Mac. Malgré ce bac à sable, les logiciels non autorisés peuvent avoir accès aux notifications de l'API File System Events, qui indiquent aux apps si le contenu d'un répertoire a été modifié. macOS protège des regards indiscrets des dossiers comme le bureau, Documents ou encore Téléchargements.

Une application sans autorisation spéciale peut tout de même obtenir ces informations. Un malandrin ne pourra pas lire ni modifier le contenu du fichier présent dans un répertoire protégé, mais il pourra observer en temps réel les changements opérés sur ces fichiers (création, modification, renommage, nouvel emplacement, suppression). Il verra ainsi quels sont les fichiers téléchargés, par exemple. Avec un peu d'huile de coude, il lui sera aussi possible de connaitre l'historique de navigation web de Safari.

Pour démontrer sa découverte, Jeff Johnson donne un exemple de code. Si la dangerosité de la faille est relativement modeste, il n'empêche qu'il s'agit d'un problème de sécurité. Le chercheur a décidé de la rendre publique après avoir appris que sa trouvaille ne serait pas éligible au programme de récompenses qu'Apple va mettre en place pour le Mac (lire : Sécurité : Apple va payer jusqu'à un million de dollars la faille iOS ou macOS).

Jeff Johnson n'est pourtant pas un inconnu pour Apple, plusieurs des failles qu'il a découvertes ont été corrigées par le constructeur. Il en a d'ailleurs été dûment remercié. Mais rien pour celle-ci… Le chercheur en a d'ailleurs deux autres en stock, toujours pour macOS.

Tags
#sécurité #macOS Catalina #Jeff Johnson
avatar Merkoriko 2 | 

Normal, ils sont tous en cours de dessins, en train de faire des tournettes > emojis....

avatar gwen | 

@Merkoriko 2

Excellent ça le coup de l’emoji. 😜👍

avatar Gilles Le Jannou | 

@Merkoriko 2

Ils étaient occupés avec les chinois a supprimer l’app Quartz de l’app store 🤪

avatar DeluxePainter | 

C’est hallucinant. Apple pas sérieux.

avatar UraniumB | 

@DeluxePainter

Toi argumenter bien ^^

avatar brunnno | 

@UraniumB

L’argument c’est l’article non ?

avatar UraniumB | 

@brunnno

Ui.

avatar bhelden | 

@UraniumB

Stiti.

avatar Ginger bread | 

Faut croire que le bug bounty était avant tout pour la montee de l action Apple

avatar jackhal | 

Tu m’étonnes. Son annonce a fait 32 pages dans le Wall Street Journal, les traders étaient comme des dingues.

avatar Spinnozza | 

Radical mais légitime.
👍

avatar MacMarc | 

Légitime...
Le jour où, inspiré par cette publication, un hacker s'amusera à espionner des donnés sensibles de votre disque dur, vous penserez peut-être autrement...

Les corrections de certaines failles ne sont pas toujours simples: elles pourraient parfois empêcher le fonctionnement de certaines applications.

avatar bibi81 | 

Les corrections de certaines failles ne sont pas toujours simples: elles pourraient parfois empêcher le fonctionnement de certaines applications.

A Apple de communiquer avec ceux qui reportent les failles pour éviter ce genre de déconvenues. Les ignorer n'est clairement pas la bonne solution.

Vous feriez mieux de critiquer le comportement d'Apple qui ne protège manifestement pas ses clients...

avatar mouahaha | 

"Les corrections de certaines failles ne sont pas toujours simples: elles pourraient parfois empêcher le fonctionnement de certaines applications."

Et qu'est-ce-qui empêche apple de lui dire dans ce cas ? Ca fait 8 mois qu'il a aucune nouvelles de la part d'apple hein. Le problème c'est pas lui mais cette société qui vie de l'évasion fiscale et de l'enculage des ses clients.

Apple ne repète pas en boucle protéger la vie privée et tout le blabla ? Et que voit les professionels de l'informatique... et bah rien, juste apple qui ne branle rien et espère que rien ne sera divulgé...

avatar Somatiic | 

@MacMarc

Je suis d’accord, mais ça coûte quoi à Apple de simplement communiquer avec ce chercheur juste histoire de dire « ok, on est dessus, merci ».
La question qui se pose c’est est ce que Apple a bien prit en compte l’alerte de ce chercheur?
Dérangeant aussi non?

avatar hirtrey | 

@MacMarc

Oui mais tu te fais peut-être espionner depuis 8 mois car la faille est connu d’autre personne et comme Apple n’a rien fait.

Maintenant il seront « obligé » de faire une correction.

avatar Curendir | 

Une autre façon de voir les choses serait :
- ah bon vous ne me payez pas ? Bon alors je révèle la faille...
Ce qui est déjà moins glorieux pour le gars... Je dis ça...

avatar Minileul | 

@Curendir

Moi je l’aurais vendu direct même pour 500€ 😂

avatar Sanid35 | 

@Curendir

Il n’aurait pas attendu si longtemps. Là il semble que c’est le fait de ne pas la voir corrigé tu crois pas ?

avatar macfredx | 

@Curendir

+1000

avatar bibi81 | 

Ce qui est déjà moins glorieux pour le gars... Je dis ça...

Si il avait voulu se faire de l'argent il ne l'aurait pas publiée gratuitement. Il l'aurait vendue aux plus offrants...

avatar victoireviclaux | 

@bibi81

Il y a aussi la réputation qui rentre en jeu... c'est pas pour rien qu'il est chercheur en sécurité. Si tu veux voir confiance dans ce domaine, on ne retourne pas sa veste comme ça.

avatar Osei Tutu | 

@victoireviclaux
Vous êtes plus conciliant avec une entreprise qui n'a pas fait son travail 8 mois plus tard qu'avec un chercheur n'ayant aucune obligation vis à vis des clients !
C'est vrai qu'Apple est plus tranquille sur sa réputation avec de telles réflexions

avatar mimolette51 | 

Commentaire bas de plafond! Le mec a laissé 8 mois à Apple pour corriger le problème. Apple ne le fait pas c'est donc que le chantre de la protection de la vie privé se paye la tête de ses clients!

Il aurait été bien plus rémunératif pour lui de la vendre au nombreux entreprises qui sont prêtes a a acheter ce genre de faille. Preuve même de la stupidité de votre commentaire!

avatar Osei Tutu | 

@Curendir
Une autre façon de voir également :
Effectivement, Apple étant une ONG, ce chercheur aurait dû le faire gracieusement ! Ce qui est déjà moins glorieux pour une entreprise qui gagne des milliards... je dis ça...

avatar RemyW (non vérifié) | 

Apple a une manière de gérer les failles de sécurité qui me dépasse. Ce n’est pas la première fois qu’ils ignorent complètement certains problèmes. Maintenant que la faille est médiatisée, ils vont réagir. Dommage d’en arriver là.

avatar Curendir | 

@sanid35 Peut-être. Honnêtement je n'en sais rien. Juste, si l'objectif c'est d'avoir l'OS le plus sécurisé possible je trouve toujours contradictoire de révéler la faille. Ça ne garantis pas une correction rapide et pendant ce temps nous sommes tous vulnerables.

avatar SyMich | 

Il faut se dire que si lui l'a trouvée, d'autres, dont c'est le job de chercher en permanence des failles pour les exploiter, l'on certainement trouvée également.
Rendre la faille publique oblige à la corriger. Alors qu'en continuant d'attendre, on laisse ceux qui peut-être l'exploitent déjà, continuer.

Il a alerter Apple en février et 8 mois plus tard, il n'a aucune nouvelle d'Apple. Il a laisser bien plus longtemps que ce qui se pratique d'habitude (6 mois pour une faille bénigne).

avatar IPICH | 

@SyMich

Sauf qu'Apple est peut être déjà dessus mais que ça prend du temps.

Ce genre d'acte est complètement idiot et égoïste.

avatar SyMich | 

Et pourquoi ils ne lui accusent pas réception de son alerte pour lui faire savoir qu'ils sont dessus??? D'autant que ce n'est pas un inconnu et qu'Apple a déjà colmaté des failles sur la base de ses alertes par le passé...

Et rendre publique une faille x jours ou mois après son signalement est la règle dans ce domaine. (Cf les failles révélées par l'équipe 0 day project de Google). Ca permet notamment aux éditeurs de logiciels antivirus (du moins ceux qui font bien leur boulot) de mettre à jour leurs utilitaires pour mettre en place des protections (lorsque c'est possible) en attendant la suppression de la faille.

avatar mimolette51 | 

Apple se touche la nouille en ne bouchant pas cette faille, la rendre publique est le seul moyen de pousser Apple à réagir. Le problème n'est pas le chercheur mais Apple!!!!!

avatar kitetrip | 

Quand on voit comme Apple gère la vie privée de ses utilisateurs (Siri, Cloud chez Amazon), on ne peut que rire devant ses discours sécuritaires...
La preuve en est de ces failles non traitées...

avatar Krysten2001 | 

@kitetrip

Et tu penses qu’Apple les laisse lire nos données ???

avatar raoolito | 

nan mais faut pas reagir aux emails des paranos pre-orientés.
on dit « oui, ha bon  ? » et on passe (voir on repond pas)

avatar Krysten2001 | 

@raoolito

Siri ne savait pas qui on était et pour le cloue, Google,... ne savent pas lire nos données donc voilà

avatar SyMich | 

Ça n'a aucun rapport avec la faille en question, mais ARRÊTEZ d'affirmer que Siri ne connaît pas l'identité de l'émetteur d'une requête, alors qu'Apple détaille toutes les infos que récupère Siri (et ceux qui vérifient la façon de travailler de Siri) pour répondre de façon pertinente: nom, prénom, localisation, carnet d'adresse, liste des albums photo, listes de lecture de musique,...
De plus on sait depuis les interviews qui ont été faites avec les sous-traitants d'Apple qui validaient le travail de Siri (et de la dictée vocale) qu'ils disposent d'un outil mis à disposition par Apple (User Data Browser) pour récupérer sur l'iPhone ayant émis la requête des infos complémentaires pour mieux comprendre ce qui est demandé (par exemple si on demande "appeler Sylvie", il faut chercher dans le carnet d'adresse, quelle Sylvie a le lien de parenté le plus proche pour décider de quelle Sylvie on parle).

Donc ces infos sont censées n'être utilisées QUE par Apple (raison pour laquelle désormais Apple ne fera traiter ces demandes QUE par des salariés et plus par des sous-traitants), mais il est FAUX de dire que Siri traite ses requêtes de façon anonyme.

avatar kitetrip | 

Sur réquisition judiciaire, Apple fournit les données de ses utilisateurs.

avatar victoireviclaux | 

@kitetrip

Il y a des méthodes qui sont passables, mais il y a aussi des méthodes qui exploitent la moindre donnée personnelle, et sans être rémunéré...

avatar Clément34000 | 

Et bien là au moins, Apple va la corriger

avatar marenostrum | 

c'est pas une faille critique pour Apple. si c'était critique il aurait vendu le gars direct.

avatar marc_os | 

Il ne s’agit pas d’une faille de sécurité dans le sens où elle ne permet ni de modifier vos données, ni de les voler.
Par contre, il s’agit d’un gros problème de CONFIDENTIALITÉ car ça permet d’observer votre ACTIVITÉ.
De plus si l’utilisateur autorise n’importe quelle App à envoyer des données sur Internet....

avatar SyMich | 

"De plus si l’utilisateur autorise n’importe quelle App à envoyer des données sur Internet...."

L'utilisateur sur Mac n'est jamais sollicité pour ce genre d'autorisation. S'il veut bloquer l'envoi de données par telle ou telle application sur son Mac, il devra aller télécharger et installer un utilitaire comme LittleSnitch.

avatar marc_os | 

@SyMich

Effectivement.

avatar mouahaha | 

Et pour une boite qui se vante de garantir la vie privée de ses clients, et fait tout son business sur cette peur de la violation de la vie privée, c'est cocasse de ne rien foutre quand la vie privée des clients est directement impactée. :)

avatar victoireviclaux | 

@mouahaha

Peut-être qu'il ne faut pas tout confondre. Analyse des données sur l'utilisation des services et revente vers des partenaires externes (ce que Apple ne fait pas). Et conséquences "involontaires" du manque de recherche sur les failles de sécurité (ce que Apple ne fait pas bien).

avatar marc_os | 

@mouahaha

Ouais faut pas exagérer non plus.
Ça ne permettra jamais de lire tes mails par exemple.
La seule information récupérable c’est la liste des fichiers modifiés et evt à quelle heure.
Si un malandrin récupère la liste de toutes les modifs dans le cache d’un navigateur, je lui souhaite bien du courage pour exploiter quoique ce soit.
La seule chose intéressante AMHA ça pourrait être les horaires qui pourraient révéler les horaires de présence devant l’ordi...

avatar byte_order | 

@marc_os
> Il ne s’agit pas d’une faille de sécurité dans le sens où elle ne permet ni de modifier vos
> données,

non, en effet.

> ni de les voler.

Euh...

> Par contre, il s’agit d’un gros problème de CONFIDENTIALITÉ car ça permet d’observer
> votre ACTIVITÉ.

Et donc de voler ces données. Si votre activité est observable, elle est de facto volable. Il suffit juste à l'app de transferer le résultat de cette observation à un serveur distant pour exfiltrer ces infos sur votre activité. Ce que ne nécessite aucune autorisation préalable.

Après, ici, l'observation, certes possible, semble assez limitée.

avatar pagaupa | 

Ahhh Apple ! On n’a pas fini ...

avatar codeX | 

De quoi tu te plains ? Grace à Apple tu peux nous abreuver de ta prose comme le font bon nombre d’autres. J’ai du mal à imaginer ta VdM sans ça :-)

avatar 1Er0ck | 

C’est une faille ce truc ? Bientôt les apps n’auront même plus accès à l’heure système sans quitter la sandbox.

Pages

CONNEXION UTILISATEUR