Sécurité : Apple encore piégé par son manque de réactivité

Christophe Laporte |

Sale temps pour Apple sur le front de la sécurité. Deux jolies failles ont été découvertes dans ses systèmes d'exploitation. Et dans ces deux cas de figure, Apple a une nouvelle fois péché à cause de son manque de réactivité.




La faille sudo connue depuis mars

La première faille (re)découverte en milieu de semaine dernière concerne la commande sudo. Cette commande permet à l'administrateur système d'autoriser d'autres utilisateurs à exécuter des commandes en tant que super utilisateur.


Comme nous l'expliquions en début de semaine (lire : Une faille de sécurité relative à la commande sudo touche OS X), en réglant l'horloge système sur le 1er janvier 1970, il est possible d'avoir tous les droits sur la machine sans le mot de passe maître. Cette date n'est pas due au hasard, elle est considérée comme étant la date de naissance d'Unix. Il s'agit en quelque sorte de l'an 0 du système.



Dans l'exemple que nous donnions, nous ne faisons qu'afficher la date, mais une personne malintentionnée peut en deux temps trois mouvements faire tout ce qu'il veut de votre ordinateur.




La faille n'est pas béante non plus, elle nécessite une série de conditions pour pouvoir être exploitée. L'utilisateur qui est connecté doit avoir les privilèges administrateurs et doit avoir effectué au moins une fois une commande sudo auparavant. Mais conjuguées à d'autres failles, elle est susceptible de faire des dégâts.



Concrètement, toutes les versions de sudo allant de 1.6.0 à 1.7.10pc et de 1.8.0 à 1.8.6pc sont concernées par cette faille. Cette faille touche Lion et Mountain Lion, mais pas Mavericks qui embarque une version de sudo plus récente.



Là où Apple est impardonnable, c'est que cette faille est connue de tous depuis près de six mois. Au passage, si vous souhaitez protéger votre Mac de cette faille en attendant qu'Apple réagisse, nous vous recommandons la lecture de ce billet de Yoann Gini - l'auteur de notre ouvrage consacré à OS X Server - qui donne la marche à suivre.



La chaîne de caractères qui fait planter iOS et OS X

Puisqu'un problème ne vient jamais seul, Apple s'est retrouvé confronté à un autre problème cette semaine. Celui de cette chaîne de caractères qui peut faire planter des applications OS X et iOS. Composée de caractères de la table Unicode/U0600, autrement dit de caractères arabes, elle affecte toutes les applications utilisant l'API de rendu textuel CoreText.



Découverte au moins depuis le mois de février, cette chaîne de texte fait planter automatiquement tous les logiciels utilisant l’API d’Apple (lire : La chaîne de caractères qui faisait planter OS X et iOS). Cela va de Safari à Chrome en passant par Messages ou encore Mail.




Là encore, le manque de réactivité d’Apple est pointé du doigt. Preuve s’il en faut, le développeur Filippo Bigarella a mis au point un correctif à l’attention de tous les appareils jailbreakés en l’espace de quelques heures.





Ce week-end Blogmotion a publié une vidéo montrant à quel point il était simple de faire redémarrer un iPhone à distance à l’aide de cette faille. Pire encore, il n’est apparemment pas possible d’accéder à Messages par la suite sans passer par la case restauration. On imagine qu’une personne malintentionnée peut facilement faire des dégâts.



Le laxisme d’Apple une nouvelle fois pointée du doigt



Ces deux nouvelles failles montrent bien toute l’ambiguïté d’Apple vis à vis de la sécurité. Apple a fait indéniablement des progrès sur ce front. Plusieurs chercheurs de sécurité et hackers ont reconnu qu’Apple prenait depuis quelques années déjà cette problématique bien plus au sérieux que par le passé. Elle a ces dernières années embauché de nombreuses pointures dans le domaine.


Lors de la sortie du jailbreak d’iOS 6, le hacker pod2g reconnaissait qu’il était de plus en plus difficile d’arriver à mettre en défaut le système d’Apple (lire : Interview jailbreak iOS 6 : pod2g, hacker ouvert).



Sur ce front, les développeurs ont également souvent reproché à Apple de faire un peu trop de zèle. La mise en place du sandboxing notamment a fait grincer beaucoup de dents.


Mais le plus grand problème d’Apple reste son incroyable manque de réactivité. On aurait pu penser qu’Apple avait retenu les leçons de l’affaire Flashback, qui selon des estimations, avait touché environ 600 000 Mac (lire : Malware : le Mac face à sa première crise majeure ?). Ce malware avait profité du laxisme d’Apple. Il exploitait une faille majeure de Java qui avait été signalée depuis plusieurs semaines et pour laquelle Apple n’avait pas bougé le petit doigt.





Ce qui est d’autant plus étonnant dans cette affaire, c’est que manifestement Apple est au courant des vulnérabilités qui lui ont été signalées, puisqu’iOS 7 et Mavericks - tous deux en bêta - ont été immunisés. Alors pourquoi Apple a tant de mal à faire preuve de réactivité ? Est-ce une question de priorité ? Un problème de ressources en interne ?



La question reste entière. Il ne faut pas faire de catastrophisme pour autant. Quoi qu’on en dise, iOS et OS X sont des systèmes relativement sûrs. Apple a fait de gros efforts au fil du temps pour sécuriser ses deux logiciels système.



Toutefois, malgré toute la bonne volonté du monde, on continuera toujours à trouver des failles ici ou là. Et si Apple veut faire figure de bon élève et se mettre à l’abri de mauvaises surprises, elle n’a pas d’autre choix que de faire preuve de réactivité !

Tags
#sécurité
avatar Psylo | 
@patrick86 "Une chaine de caractère que seuls trois abrutis s'amusent à taper sur un forum ou à envoyer à leur contact pour faire planter leurs machines, tu appelles ça une faille majeure ?" Tu appelles ça comment, toi ? It's not a bug, it's a feature ?
avatar liocec | 
"Alors pourquoi Apple a tant de mal à faire preuve de réactivité ? Est-ce une question de priorité ? Un problème de ressources en interne ?" Ressources en interne ?!? Ils ne sont pas 10 j'espère. Donc c'est une question de priorité, tout le problème est là !
avatar Anonyme (non vérifié) | 
Vous en faites un peu trop :) 2 ou 3 faille pour Apple. Combien pour Windows ou Androïd ?
avatar pierreko | 
@seedlers ça leur prend tellement de temps de les compter leurs failles qu'ils ont même pas le temps de s'en occuper chez Microsoft et Android X)
avatar DTreize | 
Le module ( sudo password bypass ) / http://db.tt/NTuJm3zC
avatar rva1mac | 
Pss, les gars ! Java n'a rien à voir dans cette histoire. Et puis, une seule faille suffit pour rendre un système pas sûr du tout ! ;)
avatar bugman | 
Ce qui fait tache c'est que ça tombe sur "le système le plus mieux de tout l'univers" surtout. (Les failles sont partout... mon commentaire, c'est juste pour bien faire rager quelques spécimens ici)
avatar Psylo | 
Le problème n'est pas la présence de failles, mais la réactivité des développeurs à proposer et déployer des correctifs. Dans l'écosystème et la communauté GNU/Linux une faille du noyau ou d'un logiciel majeur (comme sudo) ne mets pas 6 mois à être corrigée.
avatar Mabeille | 
@seedlers le nombre de faille c'est une chose le nombre d'exploitation une autre. @pierreko Ms est justement plus réactif. Android je ne sais pas.
avatar patrick86 | 
@Psylo : 'Tu appelles ça comment, toi ?' Un bug.
avatar elliatedm | 
autant on vous dit quand un article est super, autant là vous avez cherché vos mots. Avec une fin pompeuse comme un site amateur qui essaie de défendre une opinion maladroitement. Dommage.
avatar denmakesmusic | 
A mon avis c'est un déni de réalité de la part d'Apple qui semble croire ses logiciels sans faille. Entrer dans un processus bien établi et prévisible de réaction/correction face aux failles serait un aveux de faiblesse pour eux.
avatar Orus | 
Cette chaine de caractère va réellement devenir un gros problème pour Apple s'ils continuent à ne rien faire. Car il suffit que quelques petits plaisantins s’amusent à la rependre partout pour que cela deviennent dans quelque temps le chaos sur les iTrucs. Mais en fait, y a t-il encore vraiment quelqu'un chez Apple qui s’intéresse au produits ? Je pense qu'ils ne pensent plus qu'aux dollars et aux actionnaires.
avatar Anonyme (non vérifié) | 
Et bien en vous lisant tous, je me dis que ce qui serait le plus judicieux serait que quelqu'un balance la chaine en masse, comme ça Apple verrait ce que ça coûte de prendre ses clients pour des benets ... La réactivité niveau sécurité est le strict minimum que doit Apple à ses clients ... cette histoire est un comble et une honte pour cette société qui n'arrête pas de vendre son arrogance et sa soi disant qualité supérieure aux autres ... Qu'il y ait des failles ... c'est tout à fait normal mais qu'il faille plus de 6 mois pour les combler c'est tout simplement scandaleux !!!

Pages

CONNEXION UTILISATEUR