Fermer le menu

IOHIDeous, le « cadeau » de bonne année d'un hacker à Apple

Stéphane Moussie | | 16:09 |  37

Sur le plan de la sécurité, Apple commence la nouvelle année comme elle a terminé la précédente : mal. Un hacker a dévoilé le 31 décembre, à 23h59, une faille de sécurité 0 day affectant la plupart des versions de macOS.

Baptisée IOHIDeous, elle implique IOHIDFamily, une extension du noyau gérant l’accès aux composants matériels du Mac, et permet à un utilisateur non autorisé de lire et écrire sur le noyau. Siguza résume sa découverte ainsi : « N’importe qui devant le Mac -> système entièrement compromis. »

Enfin, pas vraiment n’importe qui car l’exploitation d’IOHIDeous n’est pas aussi simple que de taper « root » dans un champ de connexion… pour l’instant. La faille étant présentée de manière complète, des malandrins pourraient se servir de ces renseignements pour mettre au point une attaque facile à exécuter.

L’exploit décrit par Siguza fonctionne a priori sur toutes les versions de macOS (il l’a testé sur Sierra et High Sierra), à l’exception de 10.13.2. Le hacker ne sait pas si cette version est immunisée par chance ou si la faille a été dument comblée.

Mais pourquoi n’a-t-il pas averti Apple avant de révéler la faille au grand jour, comme il est de coutume de le faire ? Il déclare que si le bug bounty d’Apple incluait macOS, comprendre que si Apple rétribuait les découvreurs de failles sur Mac, il aurait informé l’équipe de sécurité de Cupertino.

Un discours très similaire à celui de Khaos Tian, un hacker qui, déçu du traitement d’une faille HomeKit qu’il avait signalée à Apple, a révélé publiquement le 24 décembre un problème de sécurité dans Messages.

Siguza se défend toutefois de vouloir (trop) nuire à la sécurité du Mac. Il assure que si IOHIDeous avait été exploitable à distance, il aurait prévenu Apple en premier. Il souligne aussi qu’il n’a pas vendu sa découverte à des organisations plus ou moins obscures alors qu’il aurait pu certainement en tirer un bon prix : « J’ai juste pensé que je pouvais finir 2017 avec un gros coup, parce que pourquoi pas. Si j’avais voulu voir le monde brûler, j’aurais écrit des ransomwares plutôt que des comptes-rendus. »


Les derniers dossiers

Ailleurs sur le Web


37 Commentaires Signaler un abus dans les commentaires

avatar alan1bangkok 02/01/2018 - 19:21

y'a t'il Franck Drebin pour sauver  ?

avatar poco 02/01/2018 - 20:36 via iGeneration pour iOS

Normale lignée de la pingrerie d’Apple et du foutage de gu—le de ses clients

avatar Jean-Jacques Cortes 02/01/2018 - 21:49

Avec un chef magasinier, un dessinateur et une fripière à la tête d'un fabricant d'ordinateurs et de téléphones mobiles, ne vous attendez pas à autre chose que des daubes mal conçues et pas au point.



avatar Jean-Jacques Cortes 02/01/2018 - 21:50

Sans oublier le mannequin vedette de chez Petrol Hahn.

avatar denisbook 02/01/2018 - 21:56

Putain dire que j'ai fréquemment utiliser IOHIDFamily il y a quelques temps, si seulement j'avais su :-)

avatar Avenger 02/01/2018 - 22:50 (edité)

Comme l'impression que la politique prétentieuse d'Apple commence à attirer une attention dont elle se passerait très bien. Il n'est pas sage d'espérer du mal à autrui mais je ne vous cache pas que j'espère que 2018 s'annoncera comme infernale pour Apple.

avatar Crkm 03/01/2018 - 00:06

Le timing est parfait : si ça peut décourager des gens d’acheter un iMac pro, c’est tant mieux.

En tout cas, il est maintenant certain que Cook ne finira pas l’année : on peut espérer la renaissance d’Apple.

avatar reborn 03/01/2018 - 01:06 via iGeneration pour iOS (edité)

@Crkm

Windows c’est mieux ? Des failles comme celle ci l’on en repère souvent.

C’est tellement surmediatisé chez Apple qu’on a l’impression que c’est le système le plus passoire parmi linux et windows.

Donc du coup celui qui se monte son pc windows est loin, mais alors très loin d’etre à l’abris de ce genre de problème.

« Cook ne finira pas l’année »

Eh bien Nadella aurait du dégager bien avant.

avatar poco 03/01/2018 - 01:14 via iGeneration pour iOS

Le jour où je dois abandonner OS X je n’achèterai plus jamais un produit Apple.

iOS n’a un vrai sens que si on est sur OS X, sinon un téléphone Android c’est vraiment aussi bien qu’un iPhone en plus du choix marques, prix, specs techniques...

avatar kinon 03/01/2018 - 16:38

N'achète plus non plus d'appareil avec processeur intel

https://www.macg.co/materiel/2018/01/une-faille-de-securite-de-dix-ans-d...
Parceque là la plupart des ordi Apple et Windows depuis des lustres sont concernés et c'est du hardware dont pas possible à corriger facilement comme du logiciel

avatar popeye1 03/01/2018 - 04:53

« Cook ne finira pas l’année »

Ça ne m’étonnerait pas. Ive veut la place et c’est justifié : c’est lui le designer en chef !

avatar reborn 03/01/2018 - 08:53 via iGeneration pour iOS

@popeye1

Ive n’en a rien a faire du corporate. Et concrètement c’est deja la personne la plus important au sein d’Apple.

Pages