Excédé par Apple, un chercheur en sécurité rend publique une faille de sécurité de macOS

Mickaël Bazoge |

En février, le chercheur en sécurité Jeff Johnson envoyait à Apple un rapport sur une faille de sécurité dans macOS Mojave. Huit mois plus tard, ne voyant rien venir de la part de Cupertino et constatant que la vulnérabilité est maintenant présente dans Catalina, de guerre lasse il a décidé de balancer les détails de sa découverte sur son blog.

La faille permet de contourner les mesures de protection de macOS, censées empêcher une application malveillante d'espionner l'utilisateur et son usage du Mac. Malgré ce bac à sable, les logiciels non autorisés peuvent avoir accès aux notifications de l'API File System Events, qui indiquent aux apps si le contenu d'un répertoire a été modifié. macOS protège des regards indiscrets des dossiers comme le bureau, Documents ou encore Téléchargements.

Une application sans autorisation spéciale peut tout de même obtenir ces informations. Un malandrin ne pourra pas lire ni modifier le contenu du fichier présent dans un répertoire protégé, mais il pourra observer en temps réel les changements opérés sur ces fichiers (création, modification, renommage, nouvel emplacement, suppression). Il verra ainsi quels sont les fichiers téléchargés, par exemple. Avec un peu d'huile de coude, il lui sera aussi possible de connaitre l'historique de navigation web de Safari.

Pour démontrer sa découverte, Jeff Johnson donne un exemple de code. Si la dangerosité de la faille est relativement modeste, il n'empêche qu'il s'agit d'un problème de sécurité. Le chercheur a décidé de la rendre publique après avoir appris que sa trouvaille ne serait pas éligible au programme de récompenses qu'Apple va mettre en place pour le Mac (lire : Sécurité : Apple va payer jusqu'à un million de dollars la faille iOS ou macOS).

Jeff Johnson n'est pourtant pas un inconnu pour Apple, plusieurs des failles qu'il a découvertes ont été corrigées par le constructeur. Il en a d'ailleurs été dûment remercié. Mais rien pour celle-ci… Le chercheur en a d'ailleurs deux autres en stock, toujours pour macOS.

avatar Merkoriko 2 | 

Normal, ils sont tous en cours de dessins, en train de faire des tournettes > emojis....

avatar gwen | 

@Merkoriko 2

Excellent ça le coup de l’emoji. 😜👍

avatar Gilles Le Jannou | 

@Merkoriko 2

Ils étaient occupés avec les chinois a supprimer l’app Quartz de l’app store 🤪

avatar DeluxePainter | 

C’est hallucinant. Apple pas sérieux.

avatar UraniumB | 

@DeluxePainter

Toi argumenter bien ^^

avatar brunnno | 

@UraniumB

L’argument c’est l’article non ?

avatar UraniumB | 

@brunnno

Ui.

avatar bhelden | 

@UraniumB

Stiti.

avatar Ginger bread | 

Faut croire que le bug bounty était avant tout pour la montee de l action Apple

avatar jackhal | 

Tu m’étonnes. Son annonce a fait 32 pages dans le Wall Street Journal, les traders étaient comme des dingues.

avatar Spinnozza | 

Radical mais légitime.
👍

avatar MacMarc | 

Légitime...
Le jour où, inspiré par cette publication, un hacker s'amusera à espionner des donnés sensibles de votre disque dur, vous penserez peut-être autrement...

Les corrections de certaines failles ne sont pas toujours simples: elles pourraient parfois empêcher le fonctionnement de certaines applications.

avatar bibi81 | 

Les corrections de certaines failles ne sont pas toujours simples: elles pourraient parfois empêcher le fonctionnement de certaines applications.

A Apple de communiquer avec ceux qui reportent les failles pour éviter ce genre de déconvenues. Les ignorer n'est clairement pas la bonne solution.

Vous feriez mieux de critiquer le comportement d'Apple qui ne protège manifestement pas ses clients...

avatar mouahaha | 

"Les corrections de certaines failles ne sont pas toujours simples: elles pourraient parfois empêcher le fonctionnement de certaines applications."

Et qu'est-ce-qui empêche apple de lui dire dans ce cas ? Ca fait 8 mois qu'il a aucune nouvelles de la part d'apple hein. Le problème c'est pas lui mais cette société qui vie de l'évasion fiscale et de l'enculage des ses clients.

Apple ne repète pas en boucle protéger la vie privée et tout le blabla ? Et que voit les professionels de l'informatique... et bah rien, juste apple qui ne branle rien et espère que rien ne sera divulgé...

avatar Somatiic | 

@MacMarc

Je suis d’accord, mais ça coûte quoi à Apple de simplement communiquer avec ce chercheur juste histoire de dire « ok, on est dessus, merci ».
La question qui se pose c’est est ce que Apple a bien prit en compte l’alerte de ce chercheur?
Dérangeant aussi non?

avatar hirtrey | 

@MacMarc

Oui mais tu te fais peut-être espionner depuis 8 mois car la faille est connu d’autre personne et comme Apple n’a rien fait.

Maintenant il seront « obligé » de faire une correction.

avatar Curendir | 

Une autre façon de voir les choses serait :
- ah bon vous ne me payez pas ? Bon alors je révèle la faille...
Ce qui est déjà moins glorieux pour le gars... Je dis ça...

avatar Minileul | 

@Curendir

Moi je l’aurais vendu direct même pour 500€ 😂

avatar Sanid35 | 

@Curendir

Il n’aurait pas attendu si longtemps. Là il semble que c’est le fait de ne pas la voir corrigé tu crois pas ?

avatar macfredx | 

@Curendir

+1000

avatar bibi81 | 

Ce qui est déjà moins glorieux pour le gars... Je dis ça...

Si il avait voulu se faire de l'argent il ne l'aurait pas publiée gratuitement. Il l'aurait vendue aux plus offrants...

avatar victoireviclaux | 

@bibi81

Il y a aussi la réputation qui rentre en jeu... c'est pas pour rien qu'il est chercheur en sécurité. Si tu veux voir confiance dans ce domaine, on ne retourne pas sa veste comme ça.

avatar Osei Tutu | 

@victoireviclaux
Vous êtes plus conciliant avec une entreprise qui n'a pas fait son travail 8 mois plus tard qu'avec un chercheur n'ayant aucune obligation vis à vis des clients !
C'est vrai qu'Apple est plus tranquille sur sa réputation avec de telles réflexions

avatar mimolette51 | 

Commentaire bas de plafond! Le mec a laissé 8 mois à Apple pour corriger le problème. Apple ne le fait pas c'est donc que le chantre de la protection de la vie privé se paye la tête de ses clients!

Il aurait été bien plus rémunératif pour lui de la vendre au nombreux entreprises qui sont prêtes a a acheter ce genre de faille. Preuve même de la stupidité de votre commentaire!

avatar Osei Tutu | 

@Curendir
Une autre façon de voir également :
Effectivement, Apple étant une ONG, ce chercheur aurait dû le faire gracieusement ! Ce qui est déjà moins glorieux pour une entreprise qui gagne des milliards... je dis ça...

Pages

CONNEXION UTILISATEUR