IOHIDeous, le « cadeau » de bonne année d'un hacker à Apple
Sur le plan de la sécurité, Apple commence la nouvelle année comme elle a terminé la précédente : mal. Un hacker a dévoilé le 31 décembre, à 23h59, une faille de sécurité 0 day affectant la plupart des versions de macOS.
Fuck it, dropping a macOS 0day. Happy New Year, everyone. https://t.co/oG2nOlUOjk
— Siguza (@s1guza) December 31, 2017
Baptisée IOHIDeous, elle implique IOHIDFamily, une extension du noyau gérant l’accès aux composants matériels du Mac, et permet à un utilisateur non autorisé de lire et écrire sur le noyau. Siguza résume sa découverte ainsi : « N’importe qui devant le Mac -> système entièrement compromis. »
Enfin, pas vraiment n’importe qui car l’exploitation d’IOHIDeous n’est pas aussi simple que de taper « root » dans un champ de connexion… pour l’instant. La faille étant présentée de manière complète, des malandrins pourraient se servir de ces renseignements pour mettre au point une attaque facile à exécuter.
L’exploit décrit par Siguza fonctionne a priori sur toutes les versions de macOS (il l’a testé sur Sierra et High Sierra), à l’exception de 10.13.2. Le hacker ne sait pas si cette version est immunisée par chance ou si la faille a été dument comblée.
Mais pourquoi n’a-t-il pas averti Apple avant de révéler la faille au grand jour, comme il est de coutume de le faire ? Il déclare que si le bug bounty d’Apple incluait macOS, comprendre que si Apple rétribuait les découvreurs de failles sur Mac, il aurait informé l’équipe de sécurité de Cupertino.
Un discours très similaire à celui de Khaos Tian, un hacker qui, déçu du traitement d’une faille HomeKit qu’il avait signalée à Apple, a révélé publiquement le 24 décembre un problème de sécurité dans Messages.
Siguza se défend toutefois de vouloir (trop) nuire à la sécurité du Mac. Il assure que si IOHIDeous avait été exploitable à distance, il aurait prévenu Apple en premier. Il souligne aussi qu’il n’a pas vendu sa découverte à des organisations plus ou moins obscures alors qu’il aurait pu certainement en tirer un bon prix : « J’ai juste pensé que je pouvais finir 2017 avec un gros coup, parce que pourquoi pas. Si j’avais voulu voir le monde brûler, j’aurais écrit des ransomwares plutôt que des comptes-rendus. »
Ca en dit long que Apple ne rétribue pas les découvertes de failles sur Mac !!
@frankm
Oui... moi qui avait encore un petit espoir, là il s'ammenuit de jour en jour ?
Apple est une pauvre start up n’ayant pas assez de cash pour rétribuer ce genre de découverte...
Il serait temps qu’il y ait un VP en charge de la sécurité reportant à Cook directement et sans aucun lien avec le software.
Là cela grenouille et il va falloir malheureusement une attaque massive 0 Day du type ransomware sur Mac pour que les choses bougent malheureusement...
Et peut-être prendre plus de temps pour développer un OS au lieu d'en sortir un tous les ans ...
Aucun rapport (la faille existant depuis longtemps... L'OS n'étant pas réécrit tous les ans...) et au contraire, il faut dès sa correction proposer une MAJ. Il faut donc faire plus de MAJ dans l'année pour assurer la qualité logicielle...
+1
Mais aussi avant cela: considerer le Mac comme un produit a part entiere, lui dedier des equipes de developpement et conception spécifiques et financees, pas ramener des inge detachés d'iOS entre 2 projets, autonomes...
Et puis Apple doit repondre au besoin du public du Mac et a commencer les professionels, en assurant une version LTS de macOS (mais aussi iOS) sur plus de 5 ans.
Certes on aura plus des inge qui viennent faire les andouilles sur scene avec des animoji et autres stickers dans des iBidules hors de prix, mais Phil aura peut etre des bonnes semaines...
@0MiguelAnge0
«Là cela grenouille et il va falloir malheureusement une attaque massive 0 Day du type ransomware sur Mac pour que les choses bougent malheureusement...»
De toute evidence ça ne suffit pas, le cas s'est deja presenté et on voit ou l'on en est...
Apple ne reagit que lorsque ses finances sont menacées ou que des class action menacent le cours de son action (ce qui est le cas du batterygate...)
Il faut se poser la question de la vraie raison pour laquelle Apple n'a pas de programme de bug bounty pour MacOS.
C'est pas une question de strategie de securité: Apple a un programme sur iOS...
La seule explication qui tient la route c'est (etait) la volonté d’abandonner définitivement le Mac et le fait d'avoir dissolu l'equipe dediée au developpement du Mac!
Si on lit le papier du hacker, il insiste sur le fait que la cause de cette faille remonte a un bout de temps , vient d'une couche profonde de l'OS et prend racine dans les problemes de conception qu'a Apple depuis plusieurs annees maintenant.
Pire encore, il explique qu'il y a des zones de l'OS d'Apple qui sont connues depuis des annees pour heberger des failles potentielles et qu'en cherchant un peu on les trouve facilement. Manifestement Apple et au courant mais a d'autres priorités que securiser, meme les zones bien balisées publiquement!
La mauvaise semaine de Schiller n'est pas prete de s'arreter en 2018. Et il y en a un qui risque de pas pouvoir venir faire le poney a la prochaine keynote...
@C1rc3@0rc
« et prend racine dans les problemes de conception qu'a Apple depuis plusieurs annees maintenant. »
Il explique aussi que le composant en question pourrait trainer cette faille depuis le debut des années 90.
Du coup Jobs n’a rien fait pour OS X en terme de sécurité pdt toute ces années ?
Faut arrêter de sous entendre que tout allait bien avec Jobs et que Cook, a tout cassé chez Apple à cause de l’argent.
C’est hallucinant d’apprendre que les découvertes de faille sur macOS ne sont même pas récompensées
Apple a largement les moyens pourtant
Allez, comme bonne résolution pour cette année plutôt qu’un énieme VP chargé des bonnes intentions à destination de la communauté (je ne sais pas trop ce que c’est mais ce mot claque bien), je propose un senior VP Securite avec les moyens de nouvelles ambitions
Bonne Année
@deltiox
un VP securité?
Ça n'a pas de sens en fait. La securité informatique c'est une culture et des methodologies qui doivent etre assurées a chaque niveau, depuis la conception jusqu'a la mise sur le marché.
Si on ne peut garantir l'absence de bug dans la phase de realisation, on peut quand meme fortement en limiter les risques et veiller a ce que les versions commercialisées soient assez auditées pour eviter les principaux risques. Par contre au niveau de la conception il est totalement possible d'eviter les failles. Et justement, on voit aujourd'hui que la plupart des problemes reposent sur des erreurs de conception.
Un monsieur securité chez Apple ne sert a rien, Apple a assez de tres bons ingenieurs et meme des "tetes" dans le domaine de la securité. Le probleme c'est que ces gens malgré leurs extraordinaines competences ne peuvent pas faire de miracles: quand l'echafaudage repose sur du sable, y a toujours un moment ou il va s'effondrer. Faut changer la conception, ses objectifs et l'organisation d'Apple en profondeur et redonner au Mac une vraie place avec des equipes dediées et financées... et surtout degager Ive de la conception.
@C1rc3@0rc
J’ai appris un jour d’une norme de sécurité (premier boulot, division sécurité d’une grosse boîte ) que la seule manière d’avoir des vraies équipes de sécurité était d’avoir un directeur sécurité qui ne dépende pas de l’IT et qui reporte directement au DG
le reste c’est du Pipo
Je maintiens donc
@C1rc3@0rc
Ou alors la soit-disant sécurité d’OS X c’est du vent depuis des années car personne ne s’y intéressait ?
On peut dire que c’est un grey hat ??
Une chose est sûre, ce n'est pas un « exploit », tout du moins pas en français.
Mais Apple file un mauvais coton. Cela dit, ce n'est pas nouveau. Mais ce que l'on pardonnait il y a 15 ans, à cette entreprise renaissante qui sentait bon la startup, est difficile à avaler vu la situation actuelle. Il y a donc si peu de bons ingénieurs sur cette terre, pour qu'Apple soit en si grand manque ? Genre, des gens pour réécrire iTunes, des gens pour corriger le bug du 13e mois, des gens pour corriger les failles critiques qui sont signalées en avance par des utilisateurs consciencieux et qualifiés… ça ne peut pas être une question de budget, ça n'a pas de sens, mais alors… pourquoi sont-ils tellement à la ramasse ?
@Yohmi
Y a-t-il un pilote dans l’avion ? Est-ce que cet avion est sur pilote automatique ?
Est-ce qu’une fois que les passagers ont payé la seconde classe au prix de la première, est-ce qu’il y a quelqu’un pour faire l’atterrissage ? Ou est-ce le pilote profite de son parachute doré ?
«ça ne peut pas être une question de budget, ça n'a pas de sens, mais alors… pourquoi sont-ils tellement à la ramasse ?»
un indice: Tevanaian et Serlet sont partis, Forstall a ete debarqué apres son combat perdu contre Ive pour la place de chef de la conception, Federighi a du demanteler les equipes Mac pour les integrer aux projet iOS, Cook et Ive ne veulent pas du Mac... Les financiers se focalisent sur l'iPhone et se contrefichent du Mac...
Apparement ça date de 2002 cette faille
Il y'a vraiment, mais vraiment de gros problèmes de fonctionnement et de priorité chez Apple.
Beaucoup, énormément de choses à revoir, principalement d'ailleurs au niveau software.
Je pense que le fonctionnement se frotte aux fondements de la méthode Apple au retour de Jobs aux commandes: Faire peu de choses ( il disait pas 5 dans un interview?) mais les faire bien...
Apple fait trop de chose avec son organigramme... Soit ils réduisent la voilure des objets qu'ils sortent pour se concentrer sur 4-5 produits, et beaucoup mieux les finir, soit ils changent leurs méthode de travail et engagent beaucoup plus de gens dans le software.
Mais je les vois plus abandonner iTunes pour nous pondre un nouveau programme ou ne seront présent que les abonnements (film, musiques), que de revoir de fond en comble l'outil (qui en aurait bien besoin.
iTunes a ete pendant des annees le bac a sable d'experimentation de Ive.
Toutes ses idees qui se retrouvent helas dans les produits d'aujourd'hui ont ete experimenté dans iTunes.
Il n'y a pas que le design et l'interface, mais il y a aussi le coté polyvalent foisonnant qui fait tache par rapport a la philosophie d'Apple (fonctions minimales pour favoriser la simplissité et l'ergonomie et ne pas avoir besoin de manuel de l'utilisateur...)
iTunes c'est le resultat de la convergence des idées de Ive et des contraintes imposées a Apple par l'industrie du divertissement (fallait bien faire le paillasson pour que les major acceptent l'acces a leurs catalogues...)
A la base iTunes c'est juste un lecteur de musique racheté par Apple.
A aucun moment Apple n'avait besoin de centraliser un ensemble de choses heteroclites dans un seul soft a la mode Windows...
Il etait tellement evident de gerer les contenus des iDevices depuis le Finder par drag & drop et en "montant" les iDevice comme des disques durs "intelligents"... Et apres d'avoir un outil d'administration speficique pour le materiel, tres limité a cette seule tache... bref faire ce qu'Apple a toujours fait: de l'Apple...
Et puis il faut aussi rappeller qu'en ce qui concerne la conception du materiel que Jobs avait mis au centre le principe d'une grille et expliqué qu'il fallait faire le moins de produits possible, les plus simples et fonctionnels possible et surtout eviter les foisonnement qui etaient la norme du coté Wintel... Aujourd'hui Apple a renié tous les principes de Jobs et fait ce que faisait la nebuleuse Wintel des annees 90: des plethore de machins de plus en plus compliqués, buggué a mort, dysfonctionnels et qui ne s'adressent a personne en particulier...
16 ans et toujours pas corrigée ?
1) Le responsable a quitté la boîte ?
2) Le responsable est mort dans son labo ultra sécurisé et personne n'a la clef ?
3) Est ce qu'il y a encore un responsable ici ?
@adured
16 ans et découverte il y a peu.
On se demande ce qu’a fait Jobs pendant toute ces années ?
Pour être plus sérieux, c’est normal. Avant personne ne s’intéressait à OS X, maintenant vu la stature d’Apple c’est bien different..
@reborn
16 ans d’âge ? C’est respectable.
Du coup cette faille date d’Unix ?
@DG33
Unix date du debut des années 2000 ??
Moi je le trouve sympathique ce hacker : il a bon esprit !
Par contre investir dans des pubs à la con ça ils savent faire.
y'a t'il Franck Drebin pour sauver ?
Normale lignée de la pingrerie d’Apple et du foutage de gu—le de ses clients
Avec un chef magasinier, un dessinateur et une fripière à la tête d'un fabricant d'ordinateurs et de téléphones mobiles, ne vous attendez pas à autre chose que des daubes mal conçues et pas au point.
Sans oublier le mannequin vedette de chez Petrol Hahn.
Putain dire que j'ai fréquemment utiliser IOHIDFamily il y a quelques temps, si seulement j'avais su :-)
Comme l'impression que la politique prétentieuse d'Apple commence à attirer une attention dont elle se passerait très bien. Il n'est pas sage d'espérer du mal à autrui mais je ne vous cache pas que j'espère que 2018 s'annoncera comme infernale pour Apple.
Le timing est parfait : si ça peut décourager des gens d’acheter un iMac pro, c’est tant mieux.
En tout cas, il est maintenant certain que Cook ne finira pas l’année : on peut espérer la renaissance d’Apple.
@Crkm
Windows c’est mieux ? Des failles comme celle ci l’on en repère souvent.
C’est tellement surmediatisé chez Apple qu’on a l’impression que c’est le système le plus passoire parmi linux et windows.
Donc du coup celui qui se monte son pc windows est loin, mais alors très loin d’etre à l’abris de ce genre de problème.
« Cook ne finira pas l’année »
Eh bien Nadella aurait du dégager bien avant.
Le jour où je dois abandonner OS X je n’achèterai plus jamais un produit Apple.
iOS n’a un vrai sens que si on est sur OS X, sinon un téléphone Android c’est vraiment aussi bien qu’un iPhone en plus du choix marques, prix, specs techniques...
N'achète plus non plus d'appareil avec processeur intel
https://www.macg.co/materiel/2018/01/une-faille-de-securite-de-dix-ans-dans-les-processeurs-intel-100940
Parceque là la plupart des ordi Apple et Windows depuis des lustres sont concernés et c'est du hardware dont pas possible à corriger facilement comme du logiciel
« Cook ne finira pas l’année »
Ça ne m’étonnerait pas. Ive veut la place et c’est justifié : c’est lui le designer en chef !
@popeye1
Ive n’en a rien a faire du corporate. Et concrètement c’est deja la personne la plus important au sein d’Apple.