Une faille liée aux AirTags a été rendue publique à cause de la mauvaise gestion d’Apple

Nicolas Furno |

Bobby Rauch a découvert une faille liée aux AirTags et plus spécifiquement au mode perdu des balises. Ce chercheur en sécurité a réussi à trouver un moyen pour injecter du code arbitraire dans le champ dédié au numéro de téléphone que l’on doit saisir lors de la déclaration de perte de la balise. Ce code est exécuté quand une autre personne scanne la balise perdue, ce qui pourrait permettre d’ouvrir un site de phishing, par exemple.

C’est une faille de sécurité élaborée, mais qui pourrait servir à des attaques ciblées, par exemple en déposant des AirTags sur le parking d’une personne visée, une technique déjà exploitée avec des clés USB. Le chercheur en sécurité ne détaille pas la procédure qu’il a mise en place pour exploiter cette faille et l’app Localiser ne permet pas de saisir autre chose qu’un numéro de téléphone ou une adresse mail valide. Malgré tout, la faille existe toujours à l’heure actuelle et Apple ne l’a pas encore corrigée.

L’app Localiser valide bien le numéro de téléphone ou l’adresse mail saisie lors de la déclaration de perte d’un AirTag.

L’entreprise est encore une fois victime de sa gestion médiocre des failles de sécurité. Bobby Rauch explique avoir alerté Apple le 30 juin et n’avoir plus eu de nouvelles pendant trois mois, malgré ses relances. Ce n’est que très récemment que l’entreprise l’a notifié que le correctif allait venir et lui a demandé de ne rien dire, mais sans permettre aucune récompense financière, ni même l’assurer d’une reconnaissance de son travail. Face à ce mutisme, il a choisi de divulguer ses découvertes, sans donner toutefois le détail à ce stade.

Ce n’est pas la première fois qu’Apple ignore un chercheur en sécurité. Très récemment, c’est un confrère russe qui a publié ses découvertes sans attendre les correctifs, excédé par le manque de reconnaissance de l’entreprise :

Apple traine toujours autant des pieds pour récompenser les chercheurs en sécurité

Apple traine toujours autant des pieds pour récompenser les chercheurs en sécurité

Cette faille liée aux AirTags n’est pas dangereuse pour la majorité des utilisateurs, ce qui explique sans doute pourquoi elle n’a pas été corrigée plus rapidement. Avec une alerte en juin, Bobby Rauch est aussi tombé en plein développement d’iOS 15, mais ce n’est pas son problème. Et l’entreprise aurait pu lui répondre plus rapidement en lui promettant une reconnaissance publique, voire une récompense financière, même si cela peut prendre du temps.


avatar huexley | 

C'est un festival en ce moment !

avatar raoolito | 

quand on lance un appel ouvert à des mercenaires, on ne s’etonne pas qu’ils viennent nombreux et veulent etre payés. Et si ce n’est pa sle ca,s ils font le forcing et menacent.
Et encore, on sait qu’ici ce sont les gentils qui veulent juste être nommés et payés, ceux qui sont moins scrupuleux ne se posent meme pas la question. Je soupçonne le management d’apple d’avoir simplement été surpris par les quantités de failles trouvées et/ou n’ayant pas préparé en avance ses services à un afflux de demandes. (et encore, depuis le temps, s’ils avaient voulu, ils auraient pu quintupler le service..)
Bref, Apple a la monnaie de sa pièce. Faire du code n’est pas neutre, le faire pour des milliards de users encore moins, et là faut assumer le support de toutes les communautés (les devs et les mercenaires donc…)

avatar xDave | 

@raoolito

Je tendrais de plus en plus à me dire que nos systèmes reposent sur des châteaux de cartes.
On trouve des failles dans des codes vieux de 30 ans ou plus.
Beaucoup de choses construites sans la sécurité prise en compte au départ.

Et évidemment pas que chez Apple

avatar raoolito | 

@xDave

c'est parfaitement exact !!!

avatar 0MiguelAnge0 | 

@raoolito

Meecenaires?! Tu as une idée des compétences et du temps passé pour y arriver. Bien sûr que non.
Par contre dénigré, c’est à ta portée.

Je lui conseille de divilguer la totale car il n’arrivera à rien avec ces nazes.

avatar debione | 

@0MiguelAnge0 |

Les meilleurs soldats du moyen âge étaient des mercenaires... Vous ne voulez le prendre que dans un sens péjoratif...
Mercenaires, ce sont des freelance qui mettent leurs compétences à profit d'autres entités contre rémunération. Et il est dans le langage commun que c'est pour attaquer quelque chose (ou le défendre). Bref, le qualificatif de mercenaire n'indique en rien un manque de compétences, au contraire, si on prend des mercenaires, c'est parce qu'ils ont des compétences que l'on a pas.

Faut arrêter avec ce truc de ne voir qu'un pouillème des choses, pour s'offusquer...

avatar occam | 

@debione

"Les meilleurs soldats du moyen âge étaient des mercenaires..."

Exact.
Mais on oublie que les termes soldat et mercenaire sont à l’origine équivalents, le second étant simplement un euphémisme du premier.
« Soldat » nous vient , via l’italien soldato, du latin soldarius, combattant contre solde. (De Solidus, la monnaie romaine instaurée par Constantin en 309.)
En langue d’oïl, « soldarius » nous a également légué le soudard.

Les connotations divergentes de termes à l’origine identiques ou équivalents suggèrent un préjugé anti-économique : se faire flinguer gratos pour la patrie, c’est bien ; le faire contre rémunération, de manière professionnelle et compétente, c’est mal. D’où Verdun.

avatar iftwst | 

Eh oh Apple on se réveille la ! 🙄

Vivement que cela impacte votre business avec un scandale sécuritaire chez un gars d’Hollywood ou des médias pour que ça change.

Et il faut virer le responsable de la sécurité logicielle et en prendre un qui paye et reconnaisse le travail de ces experts.

avatar Tibimac | 

Non mais sérieusement Apple quoi, ils sont vraiment cons car à chaque fois ça finit dans la presse, et donc à force le grand public et les hackers vont être bien plus au courant des trous qu'il y a dans les raquettes ce qui peut nuire à l'image d'Apple et à la sécurité.

avatar iadry | 

Je serai plus mitigé sur l’article.
Des failles comme celle-ci il peut y en avoir des milliers (d’autant qu’au final le risque est très minime). Peut être aussi que la priorité sur un été, en télétravail et surtout en période de bêta de lancement de nouveaux os (entre iOS, tv, iPadOS, watchos, macos….) la priorité n’est pas sur les petites failles ?

Virer le responsable de sécurité pour ça me parait extrême.

avatar Insomnia | 

@iadry

Minime peut être mais ça reste un trou, de plus Apple vends être à fond sur la sécurité et son pas capable de répondre quand on les averti, à ce rythme certains iront plus facilement vendre ces failles au plus offrants qu’à Apple.

avatar fte | 

Ah ah ah 😹 Apple et la sécurité.

Certains y croient, c’est d’une naïveté touchante.

avatar Darkgam3rz | 

C’est hallucinant en ce moment le chapitre mauvaise nouvelle 😱

avatar marenostrum | 

Le problème est qu’ils n’ont pas de meilleurs développeurs que les autres. C’est l’équipe de resources humaine qu’ils doivent virer. Jobs avait embauché lui-même les 100 premiers cadres de la boîte et il les connaissait par cœur leurs noms. Ce qui fait la différence.

avatar SyMich | 

Non je pense surtout qu'il n'y a aucune culture de la sécurité chez Apple. Ils n'ont aucune équipe dédiée que ce soit pour rechercher les failles ou pour les combler...
Quand je vois comment ils ont cru patcher la petite faille qu'on leur avait signalée dans les AirTags 😳
Ce n'est pas une faille bien méchante, elle permet juste de faire sonner tous les airtags à proximité desquels on passe. Mais après qu'on leur ait signalée, ils sont revenus tout fiers une semaine après pour nous dire qu'un nouveau firmware était en çours de déploiement qui bloquait la faille signalee (le dernier firmware en date).
Il nous a suffi d'une petite heure pour constater que la faille était toujours là. Ils se sont contenté de bloquer la méthode qu'on leur avait décrite pour utiliser la faille, mais la faille existe toujours. En 1 heure on avait trouvé une autre façon d'y accéder. On leur a signalé à nouveau, persuadés qu'ils allaient sortir encore un nouveau firmware, mais depuis... plus de nouvelles

avatar Sindanárië | 

@SyMich

Bah oui, aussi, vous les fatiguez avec vos broutilles ! Ils n’ont pas le temps entre le scan des contenus iCloud et des appareils, courir après les apps aux liens et magasins alternatifs…
😏😋

avatar frankm | 

Cher Apple. J’ai trouvé une faille dont voici le descriptif. Merci de me verser mon dû avant que je trouve où la vendre. Dans 2 mois je la publie. Merci

avatar Lu Canneberges | 

Je ne comprends pas qu’Apple soit toujours aussi mauvaise là-dessus ?!

L’entreprise a largement de quoi payer 1 million de dollars à chaque chercheur en sécurité qui remonte des failles, et un montant illimité en cas d’intérêt d’Israël, la Chine ou la NSA pour une faille critique…

avatar debione | 

@Lu Canneberges |

Simplement parce que l'argument numéro 1 est la rentabilité. Le reste vient bien après. mais vraiment... On ne devient pas l'entreprise la plus riche du monde en 10 ans en distribuant des $.
Si demain, ces failles font s'effondrer les ventes, alors apple sera capable de payer des millions pour chaque faille.

Le premier qualificatif en ce qui concerne Apple est vénal. Si tu passes se qualificatif en premier lieu avant de te poser d'autres questions, tout est absolument normal dans leurs agissement.

avatar Ast2001 | 

Je ne pense pas que cela soit un souci de rentabilité mais plus un problème de préoccupation. Surtout que si une faille grave est découverte, cela peut entamer très fortement cette rentabilité. Non, je pense que la sécurité n'est pas dans l'ADN d'Apple qui s'est longtemps reposé sur le fait qu'en gardant secret le code source des OS, cela renforçait la sécurité alors que c'est exactement le contraire. Je crains que chez Apple on soit encore loin du 'security by design' qui est le mantra de beaucoup de boîtes. Ils sont encore trop réactifs sur le sujet, voire donnent le sentiment de ne pas prendre assez au sérieux les failles qu'on leur communique.

avatar AFLC7 | 

Si le problème semble être le lancement d’un nouvel OS (iOS 15), la bonne approche ne serait elle pas de finir le travail avec l’existant plutôt que de toujours proposer du nouveau qui ne sert à rien (exemple les Memoji…) ? Ne faudrait il pas aller au bout des concepts avant de faire du nouveau (exemple Homekit incapable de faire le boulot de base d’un logiciel domotique simple) ? Un iPhone c’est avant tout un téléphone, un appareil mobile pour communiquer comme avec un ordinateur on ne passe pas sa vie dans le système, on l’utilise simplement pour faire fonctionner des applications qui, elles, sont légitimes quand elles évoluent. Imagine t on une voiture dont le moteur devrait être changé tous les ans pour des avantages idiots ? Maintenant le geek à boutons à besoin de mises à jour annuelles pour être heureux…

avatar debione | 

@ AFLC7:

Je suis d'accord avec vous, mais la problématique se pose sur le marketing. Si ce n'est pas nouveau, alors c'est de la merde pour beaucoup de gens (suffit de voir comme certain se ruent sur des nouveaux modèles, qui n'apportent qu'à la marge un progrès, alors que leurs ancien smartphone ils ne l'utilisent même pas à fond).
Et si il faut aller carrément dans le ridicule, ils y vont (les Memoji), quitte à faire des dizaines de minutes de présentation sur ... ben les memoji... Apple est en plein dans ce créneau, malheureusement pour les bugs, là ils en sont à sortir des nouvel version d'OS avant même que les anciennes soient clean. Mais ça plait au commun, sinon ils ne le feraient pas.

avatar Lemon19 | 

N’y voyez aucun esprit polémique de mon côté mais je voulais savoir si l’on devait considérer aujourd’hui que Google avec ses pixels présente de meilleures garanties de sécurité selon vous qu’Apple avec iOS? C’est une info que je souhaiterais avoir avant de switcher ou non vers le Pixel 6. Et je précise que cette question ne concerne pas la confidentialité, juste la sécurité.
Merci d’avance pour vos commentaires.

avatar Sindanárië | 

@Lemon19

Ils sont bien à peu près au même niveau.

Et puis si vraiment si l’un était vraiment meilleur que l’autre sur ce sujet, ça se saurait !

avatar Insomnia | 

Et Apple qui ne cesse de dire que iOS est sécurisé 😅😒

avatar Sindanárië | 

@Insomnia

A ben vu le nombre de bugs, les hackers doivent se demander même si ça vaut le coup de foutre le bordel là dedans, vu que c’est déjà tout intégré.

avatar Insomnia | 

@Sindanárië

En effet 😁

CONNEXION UTILISATEUR