Le découvreur de la faille du Trousseau d'accès macOS a cédé : il livre les détails à Apple

Mickaël Bazoge |

Linuz Henze a fini par céder : le chercheur en sécurité va donner à Apple les détails d’une faille de sécurité qui touche le trousseau d’accès de macOS. Le découvreur de la vulnérabilité estimait que le constructeur ne proposait aucun programme de « bug bounty » pour le Mac, au contraire d’iOS. C’est pourquoi il s’est contenté de communiquer autour de la brèche sans rien préciser à Apple, laissant ainsi à l’air libre une faille exploitable par les malandrins (lire : Apple ne sait rien de cette faille de sécurité touchant le trousseau d’accès de macOS).

Mardi, Linuz a reçu un courriel d’Apple lui demandant d’envoyer les informations en sa possession sur la vulnérabilité. Il se serait immédiatement exécuté, à une condition : qu’un responsable de l’entreprise lui explique pourquoi Apple n’a pas mis en place de programme de chasse aux bugs pour macOS.

Malgré l’absence de réponse de la part du constructeur, le chercheur a fini par soumettre sa découverte « gratuitement ». La vulnérabilité est « très critique », et la sécurité des utilisateurs macOS est « très importante » à ses yeux. Il est probable qu’il soit remercié dans les notes de version d’une future mise à jour de sécurité du système.

Après la rocambolesque cagade de la faille FaceTime, Apple a promis de revoir le processus de réception et de remontée des bugs. Espérons que macOS fasse partie de la réflexion.

avatar A884126 | 

Personne ne sait pourquoi le chercheur a finalement cédé. De plus, on ne connaît pas le contenu du courrier. Peut-être était-il menaçant avec à la prime une attaque en justice... Apple ne sait jamais retenu pour sortir son arsenal juridique à l'encontre d'un réfractaire.

avatar coucou | 

Apple a ptête pu lui dégotter un ptit voyage en 1ière classe pour guantanamo :)

avatar Marco787 | 

@ A884126

Effectivement, ces informations clés sont manquantes...

Il serait intéressant de voir sur quelle base juridique Apple pourrait envisager des poursuites.

avatar A884126 | 

@Marco787

Notez qu'aux États-Unis, le piratage informatique est illégal. La loi est extrêmement large et interdit toutes sortes de choses que beaucoup de gens ne réaliseraient peut-être pas, qui sont illégales.

Je ne sais pas comment il a découvert cette faille, mais je crains fort que les actions qu'il a entreprit soient illégales.
Si ses actions visant à découvrir la faille enfreignaient la loi, et le fait de demander un dédommagement, ce qui semble avoir eu comme résultat d'agacer Apple, ces derniers pourraient faire appel à un procureur fédéral et le convaincre d'inculper le chercheur pour violation de la loi fédérale.

Enfin, tout ceci n'est que spéculation.

avatar Marco787 | 

@ A884126

Il me semble difficile de parler de piratage.

Cette personne a découvert ce bug car lui même a un Mac : il a sans conteste fait des essais pour valider le tout, mais comme cela est sur son Mac, il est difficile de voir comment une personne peut se pirater elle-même.

Par ailleurs, aucune personne n'a jamais été condamnée ou poursuivie aux US simplement pour avoir découvert par ses propres moyens et sur son propre ordinateur une faille de sécurité.

En outre, comme Apple ne sait pas comment cette personne a procédé ni quelle est la faille, il lui serait difficile de tenter une poursuite (sur quelle base précise ?).

Il est frustrant de ne pas avoir le fin mot de l'histoire...

avatar coucou | 

Suivi d'invoquer la sécurité de l'état et pouf fbi devant sa porte s'il dit pas comment. :)

avatar Marco787 | 

Sécurité de l'Etat ? C'est un peu des plans sur la comète...

Il faut se garder de spéculations hasardeuses et difficilement liées au sujet...

avatar DG33 | 

@A884126

Mais alors trouver un bug iOS sur des bases illégales et se voir rétribuer un bug bounty par Apple ne rendrait-il pas Apple coupable d’encourager à faire des choses illégales ???

avatar Marco787 | 

Sur base illégale ? Où avez-vous vu cela ?

avatar killabling | 

Mouaii pas clair cette affaire??‍♂️...on va dire que c'est par bonté d'âme,comme quoi il y a des gens bien sur Terre qui ne s'intéressent pas a l'argent?...
C'est beau tout saaa..

avatar Un Type Vrai | 

Si yn programme existe pour iOS et pas Mac OS, c'est parce sur Mac OS n'intéresse plus Apple. Pourquoi chercher plus loin ?

avatar marenostrum | 

c'est plus sûr macOS, et l'utilisateur plus expérimenté et équipé (on peut installer ce qu'on veut dedans) se protéger contre le piratage ou autre chose.
bref tu peux assurer ta défense par tes propres moyens. t'as tout sorte de logiciels dédiés. y a que les installer.

avatar Un Type Vrai | 

Oui, j'ai créé ultimaddblocktrustme... Je gagne un pognon de dingue avec les imbeciles qui installent mon logiciel innocent ?
Sérieusement, je suis sous linux et freebsd à cause du matériel Apple qui ne me correspond plus. Mais l'OS est super (même si OS X ne me manque pas). Ce n'est pas une raison pour qu'Apple ne s'implique pas plus sérieusement sur la sécurité...

avatar Marco787 | 

@ marenostrum

"u peux assurer ta défense par tes propres moyens. t'as tout sorte de logiciels dédiés. y a que les installer."

Le sujet n'est pas les virus ou les applications tierces compromises.

Ces failles concernent l'OS (et les app Apple). C'est très différent.

La preuve, vous dites qu'il suffit d'installer le logiciel dédié. Lequel protège de cette faille du trousseau macOS (ou des autres failles macOS) ?

avatar marenostrum | 

quelle faille de trousseau ? tu sais l'exploiter ? comment il va rentrer dans mon ordinateur ? par quel biais ? si Apple ne réagit pas parce que y en a pas autant de danger. il faut pas écouter ce qu'ils te disent "les experts" inconnus, qui rentrent dans le rang avec très peu de pression. bref ils n'ont aucune crédibilité.

avatar Marco787 | 

Effectivement, il ne faut pas paniquer ou se stresser.

Cela étant dit, il me semble que ce n'est parce que l'on ne connait pas les détails de la faille qu'il faut considérer que cela n'est pas risqué ou utile. Par ailleurs, les personnes les plus à risque -donc pas les utilisateurs "lambda"- se doivent de ne prendre aucun risque, même présumé faible.

Le trousseau stocke presque tous les mots de passe de tous les sites que j'utilise.

"si Apple ne réagit pas"
Apple a demandé à cette personne de lui communiquer tous les détails de la faille, donc Apple a réagi, non ? Si Apple ne réagit pas plus, à ce stade il faut ajouter, c'est qu'ils ne connaissent pas les détails.

Et le trousseau est un exemple parmi d'autres failles de macOS / des logiciels Apple.

Si on prend la faille FaceTime (colmatée depuis), pouvez-vous nous dire quel logiciel aurait permis de s'en prémunir ? Aucun, car c'est un bug spécifique au système Apple et c'est à Apple à trouver une solution.

Et dans le cas du bug FaceTime (entre autres), Apple a mis beaucoup de temps à réagir. Apple n'a réagi que quand les médias se sont emparés du sujet, alors qu'ils étaient au courant bien avant...

avatar marenostrum | 

il peut y avoir 4000 failles qu'on ne connait pas, pour ça j'ai dis plus haut que c'est à nous de prendre des mesures en installant de logiciels appropriés, etc. qui te montrent par ex tous les connections de ta machine vers extérieur. même si le pirate a réussi passer la défense de la machine tu ne laisses son programme se connecter avec son serveur pour envoyer les données, etc. par l'occasion tu le découvre aussi et tu le vire de ta machine, etc.
mais la plupart de ces failles il faut avoir déjà un accès physique à la machine, ça se fait pas en distance, sinon Apple réagit vite.

pour le FaceTime par ex ils ont réagit vite. et c'était pas une faille grave pour moi. je l'utilise jamais ce truc. tu mets un scotch sur la camera et le micro et c'est la meilleure protection. comme le fait le patron de Facebook par ex, qui connait bien ce sujet.

avatar Marco787 | 

@ marenostrum

"il faut avoir déjà un accès physique à la machine, ça se fait pas en distance, sinon Apple réagit vite"

Quand bien même, en quoi cela rend la faille moins gênante ? Dans les entreprises ou les administrations, où des données très sensibles peuvent être présentes, de nombreuses personnes peuvent avoir un accès physique aux ordinateurs des autres...

Et peut-on affirmer que la NSA, les autres services d'espionnage du monde ou les hackers spécialisés ont aussi besoin d'un accès physique ?

Si cette situation est si anodine et sans risque, alors pourquoi Apple se fatigue même a demander les détails ?

"pour le FaceTime par ex ils ont réagit vite"
Entre le moment où la faille leur a été signalée, et le moment où le problème fut résolut, de très (trop) nombreux jours se sont écoulés, pour une faille qui existe depuis septembre 2018, date de sortie d'iOS 12. Apple aurait réagi vite si le jour même où ils étaient au courant ils avaient coupé FaceTime pour ensuite se donner le temps de résoudre le problème...

"je l'utilise jamais ce truc"
Il apparaît que vous ne savez pas en quoi consiste ce bug. Il n'est pas nécessaire d'utiliser FaceTime pour en être victime, car FaceTime est installé et actif par défaut sur tous les iPhone. C'est l'un des problèmes qui rend cette faille si critique !
https://www.macrumors.com/2019/01/28/apple-major-facetime-bug/

"tu mets un scotch sur la camera et le micro et c'est la meilleure protection. "
Sur un iPhone, c'est un peu singulier comme solution...

Et sur un Mac, cela n'est pas idéal, surtout pour une société vantant avec une telle conviction publique et marketing la protection de la vie privée et la sécurité des utilisateurs... Un utilisateur ne devrait pas avoir à utiliser des bouts de scotch...

avatar tbr | 

Un matin, en se réveillant d’une bonne nuit de sommeil réparateur, il s’est retrouvé avec un trognon de pomme sur l’oreiller voisin en guise d’alerte...
Il a très vite cédé, pour éviter les pépins.

comme d’autres avec des têtes de cheval.

avatar oomu | 

haha, j'imagine déjà Timmy

"pourquoi tu m'as manqué de respect ? moi qui a toujours été un ami. Tu aurais du venir me voir tout de suite, au lieu d'en parler aux médias..."

Pages

CONNEXION UTILISATEUR