Sécurité : Charlie Miller s'en prend à Apple, Adobe et Microsoft

Christophe Laporte |
Charlie Miller est agacé par le comportement d'Apple, d'Adobe et de Microsoft. Il estime que les sociétés en question ne progressent pas sur le front de la sécurité. «Nous trouvons un bogue, ils le corrigent. Nous trouvons un autre bogue, ils le corrigent. Mais cela ne suffit pas à améliorer la sécurité de leurs produits», déclare-t-il. Charles Miller estime que les éditeurs font des sauts de puces là où il faudrait faire des pas de géants.

Lors du concours organisé par CanSecWest, Charlie Miller a réussi à hacker un MacBook Pro en exploitant une faille de Safari. Ce qui lui a permis au passage d'encaisser 10 000 $. C'est la troisième fois d'affilé qu'il remporte ce concours. Peu avant le début de cet événement, il affirmait avoir débusqué 30 vulnérabilités «critiques» sur Mac OS X à l'aide d'un simple script Python. Ces failles concernaient notamment Adode Reader, Microsoft PowerPoint, OpenOffice.org ainsi qu'Aperçu. Ce qui a le don d'agacer Miller, c'est que les failles en question sont relativement triviales. Il estime qu'un seul chercheur en sécurité équipé de trois ordinateurs (pour faire fonctionner ses scripts) ne devrait pas parvenir à mettre en difficulté des équipes entières en charge de ces questions chez Microsoft, Apple…

Afin de les pousser à se remettre en question, Miller a donc décidé d'adopter une nouvelle stratégie : plutôt que de transmettre les failles aux sociétés concernées, il se contentera de leur donner des indices.

Comme nous l'indiquait dans un entretien récent Nicolas Seriot (lire : Interview : Apple et la sécurité), les relations entre les éditeurs et les chercheurs de sécurité sont de plus en plus difficiles. Ces derniers sont fatigués de faire de l'assurance qualité gratuitement pour les éditeurs.
avatar daito | 

[quote]Tu as un certain talent pour faire dire aux chiffres ce qui t'arrange, surtout lorsqu'il s'agit de comparer la progression par rapport au premier trimestre de l'année dernière qui avait été relativement mauvais.

Plus de la moitié du CA et des bénéfices d'Apple est désormais due au marché iPod / iPhone / iTMS / Appstore.

Encore un article récent; [/quote]

Durant le premier trimestre de l'année 2009, Apple avait vendu 2 524 000 ordinateurs . C'était mauvais?? Outchhhh.

Sinon dans le lien que tu donnes, tu peux m'indiquer où il est indiqué que la moitié du CA d'Apple vient de l'iPhone/ipod/IS/Appstore??

avatar daito | 

[quote]Il ne se "disent" pas experts en sécurité, ils le sont (en tout cas Miller, qui est très réputé dans ce domaine). Toi, tu es juste un expert en propagande, je ne sais même pas pourquoi je perds mon temps à te répondre.[/quote]

Seriot clairement non, vu ce qu'il raconte et ce qu'il publie. Miller, hummm c'est un sacré expert à passer son temps à chercher des failles dans du code disponible et ouvert puis en faire un exploit.

avatar daito | 

[quote]"OS X has a large attack surface consisting of open source components, closed source third-party components and closed source Apple components ; bugs in any of these types of components can lead to remote compromise.". [/quote]

Humm on pourrait dire tout aussi facilement "Windows has a huge attack surface consisting of closed source third-party components and closed source Microsoft components ; bugs in any of these types of components can lead to remote compromise."

Et des composantes OpenSource avec failles peuvent aussi être utilisées dans Windows comme la librairie PCRE utilisée il y a deux ans pour kacker un Mac.

avatar laurange | 

"Adode Reader, Microsoft PowerPoint, OpenOffice.org ainsi qu'Aperçu"

HA je croyais que c'était grave … me voilà rassuré, je n'utilise que Aperçu dans ce lot et je ne télécharge que rarement es fichiers que je ne connais pas.

Malgré tout les éditeurs devraient vraiment mettre l'accent sur la sécurité de leur produits, à quand un "Euro NCAP " des logiciels ?

avatar olm | 

Bon, je vais mettre tout le monde d'accord... mais non: c'est une blague.
En fait, Miller est tellement fort qu'Apple n'a pas les moyens de l'embaucher! Héhé
Blague à part, c'est très important que des expert s'intéressent à la sécurité informatique, mais c'est uniquement parce que le mac traîne encore sa réputation de machine "safe" que Miller l'attaque...et ne démontre rien... Lors de chaque mise à jour, ou presque, Apple corrige des failles... Le fait que Miller les cherche ne fait pas de lui un messie "anti-apple", loin de là. Simplement, il faut considerer que les failles existent et ne disparaîtront jamais (même si apple ou microsoft mettaient TOUT leur argent dedans).
Donc Miller n'est là que pour le côté médiatique, si window était réputé inattaquable, il se ferrait un malin plaisir à prouver le contraire (même si ça ne prouverait rien, le principal reste le pseudo prestige...)
C'est un peu comme certain qui pensent qu'un mac ne plante pas, il suffirait de le faire planter pour faire sensation... et alors?

Je n'ai toujours pas besoin d'anti virus, et ça, c'est quand même bien.

Ce qui craint, c'est l'amalgame qui peut être fait entre "failles" et "danger"... c'est vraiment pas la même chose.
Et l'amalgame entre problème d'écran et qualité de fabrication, c'est dommage car ça masque les "vrais" manques d'apple...

avatar milouf_83 | 

@divoli

Je crois que je suis amoureux de toi! lol

Je met +1000 à chacun de tes messages puisque je pense exactement pareil :)

avatar chenzo57 | 

Ah ils me font rire les gens qui paniquent tout de suite relisez bien l'article le mec à réussit à trouver ces failles à l'aide d'un ordinateur physique faites moi confiance que si il avait réussi via le réseau il n'aurait pas manqué d'en faire la pub !!!! c'est quoi qui vous fait peur qu'un hacker forcent vos domiciles pour pirater vos machines ?!! Ce qui compte pour nous utilisateurs, c'est d'utiliser un ordinateur sans problèmes liés à un virus ou autres et c'est largement le cas pour le moment, j'utilise mon mac sans un seul anti virus installé!!! et ça marche très bien. Je ne dis pas qu'Apple doit fermer les yeux sur cette faille, à mon avis c'est loin d'être le cas et ne vous inquiété pas Apple n'a pas abandonné Os X !! pour s'occuper de son nouveau "chouchou" mais je n'arrive tout simplement pas à comprendre vos inquiétudes...

Pages

CONNEXION UTILISATEUR