Le découvreur de la faille du Trousseau d'accès macOS a cédé : il livre les détails à Apple
Linuz Henze a fini par céder : le chercheur en sécurité va donner à Apple les détails d’une faille de sécurité qui touche le trousseau d’accès de macOS. Le découvreur de la vulnérabilité estimait que le constructeur ne proposait aucun programme de « bug bounty » pour le Mac, au contraire d’iOS. C’est pourquoi il s’est contenté de communiquer autour de la brèche sans rien préciser à Apple, laissant ainsi à l’air libre une faille exploitable par les malandrins (lire : Apple ne sait rien de cette faille de sécurité touchant le trousseau d’accès de macOS).
Mardi, Linuz a reçu un courriel d’Apple lui demandant d’envoyer les informations en sa possession sur la vulnérabilité. Il se serait immédiatement exécuté, à une condition : qu’un responsable de l’entreprise lui explique pourquoi Apple n’a pas mis en place de programme de chasse aux bugs pour macOS.
Malgré l’absence de réponse de la part du constructeur, le chercheur a fini par soumettre sa découverte « gratuitement ». La vulnérabilité est « très critique », et la sécurité des utilisateurs macOS est « très importante » à ses yeux. Il est probable qu’il soit remercié dans les notes de version d’une future mise à jour de sécurité du système.
Après la rocambolesque cagade de la faille FaceTime, Apple a promis de revoir le processus de réception et de remontée des bugs. Espérons que macOS fasse partie de la réflexion.
C’est quand même affligeant qu’Apple soit aussi pingre avec les récompenses liées à la découverte de failles...
Et, hors sujet, bravo pour le « cagade » de fin d’article ! :)
@jnthierry
Bah non puisque le gars a publié gratuitement la faille. Apple n’avait plus qu’à se servir gratuitement.
Le découvreur s’est fait avoir comme un bleu
@ frankm
"Bah non puisque le gars a publié gratuitement la faille"
Pas du tout. La personne n'a rien publié. Sinon pourquoi Apple lui a demandé d'envoyer les détails ?
Les mecs n’ont toujours rien compris sur la remontée de bugs, pitoyable...
Heureusement que c’est une start-up de deux ans.. ah on me dit dans l’oreillette que non en fait...
Gratuitement..lool..mais bien sur!!!
@killabling
Vu que le programme actuel d’Apple c’est dans les 25 000 à 50 000 $, c’est une notion assez relative de la gratuité ?
@ killabling
@ Yohmi
Où avez-vous que cette personne recevrait de l'argent ?
@Marco787
Nulle part, c’est le programme de récompense d’Apple. Il est jugé insuffisant (montants jugés beaucoup trop bas donc peu de gens passent par là) mais il existe. Ou alors j’ai mal compris ☺️
@ Yohmi
L'article indique (et d'autres sources le confirment) que pour macOS, aucune récompense financière n'est attribuée (contrairement à iOS).
L'article dit : "ne proposait aucun programme de « bug bounty » pour le Mac, au contraire d’iOS."
@killabling
"Gratuitement..lool..mais bien sur!!!"
J'y crois pas non plus...... a sorti le chéquier.
Un cagade we trust !
Très bon ?
Du Apple tout craché. Il a été con.
J’ai de moins en moins d’atomes crochus avec cette boite...
@pagaupa
Apple veut juste ton fric, c'est bien tu deviens responsable :-)
Comme disait Coluche, un trousseau, deux trous sales, en tout cas il s’est bien fait mettre le pauvre!
Donner les infos gratuitement? (en échange d’un énorme bon d’achat!!!)?
@Rage68
Et d’une clause de non disclosure...
Franchement Apple n'est plus une société qui impose le respect, optimisation fiscale en Europe, l'absence de récompenses pour les débusceurs de bugs, l'absence de prime Macron pour les employés des Apple Store, cela en fait une entreprise arrogante qui méprise l'humain au profit de argent. Je les préférais nettement quand ils étaient en difficultés quoique ils n'ont jamais été humbles.
Les employés des Apple Store n'ont pas eu de prime en effet, mais ils ont tous été augmenté. L'augmentation, ils l'ont pour la durée totale de leur contrat chez Apple. La prime, on va être tous un moment sans en avoir une de la part de nos employeurs ("ah mais vous comprenez, sans exonération fiscale, les primes, ça coûte trop cher...")
@damrtom
Normalement augmenter ses employés coûte plus cher à la fin que de donner une prime. Ça a du être bien réfléchi
Ça c'est quand la majorité de tes employés restent dans l'entreprise pour y faire carrière. En Apple Sore ils parient sur le turnover. Les salaires des jeunes (18/25a) sont bien moins élevés à l'embauche, et ils ne restent pas. Dans le même temps, les nouveaux contrats ont peu à peu été rabotés au fil des ans et surtout l'année dernière (notamment avec la disparition des deux jours consécutifs de repos et la disparition du statut cadre de certains postes clés).
@ damrtom
A combien s'élève l'augmentation de salaire au juste ?
L’éthique de ce gars a été plus forte que la pingrerie de Appl€. Respect
Comme dirait l'autre, ils ont des pièges à loups/ours dans leurs poches...ce qui m'énerve le plus chez eux, c'est cette propension à distribuer leurs vérités bien-pensantes.
A ceux qui leur donnent leurs données de santé, je conseillerais de ne pas le faire, parce qu'un jour (si ce n'est déjà fait), un actionnaire va avoir la sympathique idée de vendre vos données aux assurances santé privées, à moins que ces boites philanthropiques ne soient déjà elles-memes actionnaires de cette pomme pourrissante...
Des oursins dans les poches. ^^
Quoique avec Apple on peut effectivement parler carrément de piège à ours.
Les clients d'Apple devraient en faire autant parce qu'Apple, pour ce qui est de faire les poches de ses clients...
C’est immonde
J’ai été victime 4 fois du bug trousseau et les personnes avait à chaque fois accès à toutes les data
Apple n’a rien su faire et à clos les dossiers à chaque fois
Cette boite qui se dit proche des données client me dégoûte
Personne ne sait pourquoi le chercheur a finalement cédé. De plus, on ne connaît pas le contenu du courrier. Peut-être était-il menaçant avec à la prime une attaque en justice... Apple ne sait jamais retenu pour sortir son arsenal juridique à l'encontre d'un réfractaire.
Apple a ptête pu lui dégotter un ptit voyage en 1ière classe pour guantanamo :)
@ A884126
Effectivement, ces informations clés sont manquantes...
Il serait intéressant de voir sur quelle base juridique Apple pourrait envisager des poursuites.
@Marco787
Notez qu'aux États-Unis, le piratage informatique est illégal. La loi est extrêmement large et interdit toutes sortes de choses que beaucoup de gens ne réaliseraient peut-être pas, qui sont illégales.
Je ne sais pas comment il a découvert cette faille, mais je crains fort que les actions qu'il a entreprit soient illégales.
Si ses actions visant à découvrir la faille enfreignaient la loi, et le fait de demander un dédommagement, ce qui semble avoir eu comme résultat d'agacer Apple, ces derniers pourraient faire appel à un procureur fédéral et le convaincre d'inculper le chercheur pour violation de la loi fédérale.
Enfin, tout ceci n'est que spéculation.
@ A884126
Il me semble difficile de parler de piratage.
Cette personne a découvert ce bug car lui même a un Mac : il a sans conteste fait des essais pour valider le tout, mais comme cela est sur son Mac, il est difficile de voir comment une personne peut se pirater elle-même.
Par ailleurs, aucune personne n'a jamais été condamnée ou poursuivie aux US simplement pour avoir découvert par ses propres moyens et sur son propre ordinateur une faille de sécurité.
En outre, comme Apple ne sait pas comment cette personne a procédé ni quelle est la faille, il lui serait difficile de tenter une poursuite (sur quelle base précise ?).
Il est frustrant de ne pas avoir le fin mot de l'histoire...
Suivi d'invoquer la sécurité de l'état et pouf fbi devant sa porte s'il dit pas comment. :)
Sécurité de l'Etat ? C'est un peu des plans sur la comète...
Il faut se garder de spéculations hasardeuses et difficilement liées au sujet...
@A884126
Mais alors trouver un bug iOS sur des bases illégales et se voir rétribuer un bug bounty par Apple ne rendrait-il pas Apple coupable d’encourager à faire des choses illégales ???
Sur base illégale ? Où avez-vous vu cela ?
Mouaii pas clair cette affaire??♂️...on va dire que c'est par bonté d'âme,comme quoi il y a des gens bien sur Terre qui ne s'intéressent pas a l'argent?...
C'est beau tout saaa..
Si yn programme existe pour iOS et pas Mac OS, c'est parce sur Mac OS n'intéresse plus Apple. Pourquoi chercher plus loin ?
c'est plus sûr macOS, et l'utilisateur plus expérimenté et équipé (on peut installer ce qu'on veut dedans) se protéger contre le piratage ou autre chose.
bref tu peux assurer ta défense par tes propres moyens. t'as tout sorte de logiciels dédiés. y a que les installer.
Oui, j'ai créé ultimaddblocktrustme... Je gagne un pognon de dingue avec les imbeciles qui installent mon logiciel innocent ?
Sérieusement, je suis sous linux et freebsd à cause du matériel Apple qui ne me correspond plus. Mais l'OS est super (même si OS X ne me manque pas). Ce n'est pas une raison pour qu'Apple ne s'implique pas plus sérieusement sur la sécurité...
@ marenostrum
"u peux assurer ta défense par tes propres moyens. t'as tout sorte de logiciels dédiés. y a que les installer."
Le sujet n'est pas les virus ou les applications tierces compromises.
Ces failles concernent l'OS (et les app Apple). C'est très différent.
La preuve, vous dites qu'il suffit d'installer le logiciel dédié. Lequel protège de cette faille du trousseau macOS (ou des autres failles macOS) ?
quelle faille de trousseau ? tu sais l'exploiter ? comment il va rentrer dans mon ordinateur ? par quel biais ? si Apple ne réagit pas parce que y en a pas autant de danger. il faut pas écouter ce qu'ils te disent "les experts" inconnus, qui rentrent dans le rang avec très peu de pression. bref ils n'ont aucune crédibilité.
Effectivement, il ne faut pas paniquer ou se stresser.
Cela étant dit, il me semble que ce n'est parce que l'on ne connait pas les détails de la faille qu'il faut considérer que cela n'est pas risqué ou utile. Par ailleurs, les personnes les plus à risque -donc pas les utilisateurs "lambda"- se doivent de ne prendre aucun risque, même présumé faible.
Le trousseau stocke presque tous les mots de passe de tous les sites que j'utilise.
"si Apple ne réagit pas"
Apple a demandé à cette personne de lui communiquer tous les détails de la faille, donc Apple a réagi, non ? Si Apple ne réagit pas plus, à ce stade il faut ajouter, c'est qu'ils ne connaissent pas les détails.
Et le trousseau est un exemple parmi d'autres failles de macOS / des logiciels Apple.
Si on prend la faille FaceTime (colmatée depuis), pouvez-vous nous dire quel logiciel aurait permis de s'en prémunir ? Aucun, car c'est un bug spécifique au système Apple et c'est à Apple à trouver une solution.
Et dans le cas du bug FaceTime (entre autres), Apple a mis beaucoup de temps à réagir. Apple n'a réagi que quand les médias se sont emparés du sujet, alors qu'ils étaient au courant bien avant...
il peut y avoir 4000 failles qu'on ne connait pas, pour ça j'ai dis plus haut que c'est à nous de prendre des mesures en installant de logiciels appropriés, etc. qui te montrent par ex tous les connections de ta machine vers extérieur. même si le pirate a réussi passer la défense de la machine tu ne laisses son programme se connecter avec son serveur pour envoyer les données, etc. par l'occasion tu le découvre aussi et tu le vire de ta machine, etc.
mais la plupart de ces failles il faut avoir déjà un accès physique à la machine, ça se fait pas en distance, sinon Apple réagit vite.
pour le FaceTime par ex ils ont réagit vite. et c'était pas une faille grave pour moi. je l'utilise jamais ce truc. tu mets un scotch sur la camera et le micro et c'est la meilleure protection. comme le fait le patron de Facebook par ex, qui connait bien ce sujet.
@ marenostrum
"il faut avoir déjà un accès physique à la machine, ça se fait pas en distance, sinon Apple réagit vite"
Quand bien même, en quoi cela rend la faille moins gênante ? Dans les entreprises ou les administrations, où des données très sensibles peuvent être présentes, de nombreuses personnes peuvent avoir un accès physique aux ordinateurs des autres...
Et peut-on affirmer que la NSA, les autres services d'espionnage du monde ou les hackers spécialisés ont aussi besoin d'un accès physique ?
Si cette situation est si anodine et sans risque, alors pourquoi Apple se fatigue même a demander les détails ?
"pour le FaceTime par ex ils ont réagit vite"
Entre le moment où la faille leur a été signalée, et le moment où le problème fut résolut, de très (trop) nombreux jours se sont écoulés, pour une faille qui existe depuis septembre 2018, date de sortie d'iOS 12. Apple aurait réagi vite si le jour même où ils étaient au courant ils avaient coupé FaceTime pour ensuite se donner le temps de résoudre le problème...
"je l'utilise jamais ce truc"
Il apparaît que vous ne savez pas en quoi consiste ce bug. Il n'est pas nécessaire d'utiliser FaceTime pour en être victime, car FaceTime est installé et actif par défaut sur tous les iPhone. C'est l'un des problèmes qui rend cette faille si critique !
https://www.macrumors.com/2019/01/28/apple-major-facetime-bug/
"tu mets un scotch sur la camera et le micro et c'est la meilleure protection. "
Sur un iPhone, c'est un peu singulier comme solution...
Et sur un Mac, cela n'est pas idéal, surtout pour une société vantant avec une telle conviction publique et marketing la protection de la vie privée et la sécurité des utilisateurs... Un utilisateur ne devrait pas avoir à utiliser des bouts de scotch...
Un matin, en se réveillant d’une bonne nuit de sommeil réparateur, il s’est retrouvé avec un trognon de pomme sur l’oreiller voisin en guise d’alerte...
Il a très vite cédé, pour éviter les pépins.
comme d’autres avec des têtes de cheval.
haha, j'imagine déjà Timmy
"pourquoi tu m'as manqué de respect ? moi qui a toujours été un ami. Tu aurais du venir me voir tout de suite, au lieu d'en parler aux médias..."