Apple remercie Pangu pour les failles bouchées par iOS 8.1.1

Mickaël Bazoge |

Disponible depuis hier, iOS 8.1.1 a été l'occasion pour Apple de montrer qu'elle se préoccupait aussi des possesseurs de terminaux plus anciens; ainsi, les iPad 2/3 ainsi que l'iPhone 4S profitent des efforts d'optimisation de la Pomme. Mais cette mise à jour est aussi là pour boucher des trous repérés par des chercheurs en sécurité et des développeurs. L'équipe Pangu, à qui l'on doit l'outil de débridage d'iOS 8 du même nom (disponible depuis le 9 novembre sur OS X) est créditée par trois fois pour autant de bugs débusqués !

Les vulnérabilités repérées par les hackers chinois de Pangu sont peut-être celles qui ont permis au logiciel de jailbreak de s'infiltrer subrepticement au sein d'iOS. Le mois dernier, Pangu avait livré une version « beta » de leur logiciel, destinée à des développeurs qui ont eu tout loisir de repérer les failles utilisées par l'équipe. Cela a t-il pu aussi être le cas d'Apple ? Quoi qu'il en soit, ce n'est pas une première, le constructeur ayant déjà par le passé remercié les evad3rs pour leur contribution à la chasse aux bugs dans iOS.

L'équipe Pangu est saluée pour des vulnérabilités touchant dyld (permettant à un utilisateur en local de lancer du code non signé), le noyau (au travers duquel une app pouvait lancer du code avec les privilèges du système), et les profils sandbox (mêmes symptômes que la précédente).

Les cinq autres failles corrigées dans iOS 8.1.1 touchent Spotlight, WebKit, CFNetwork, ainsi que l'écran d'accueil : une vulnérabilité permettait, par l'intermédiaire d'un message FaceTime, d'accéder et d'envoyer des photos à partir de l'appareil mobile; une autre rendait possible de multiplier les tentatives d'insertion du code de verrouillage, une porte d'entrée pour les attaques par force brute.

avatar frankm | 

Oh la la la provoc

avatar Ken-de-barbie | 

Provoc ou pas les grands gagnant c'est nous grâce a ces petites mains on des appareils plus sur , et tant pis pour les bidouilleurs et les no life

avatar trolloloI | 

Quel motif pour l'insulte gratuite et totalement hors sujet ?

avatar adrien1987 | 

Je sais pas vous, mais je pense que la team PanGu en a sous le pied. Cette version ne restera pas sans jailbreak trés longtemps ...

avatar CNNN | 

Perso je reste en 8.1 jailbreaké, les failles sont rebouchées de toute façon après l'application de Pangu.
On appelle ça avoir le beurre et l'argent du beurre :)

avatar adrien1987 | 

@CNNN :
+1. Quel bonheur d'avoir SwipeSelection !

avatar CNNN | 

oui entre autres ^^
moi j'utilise sur mon iPhone 6 : AdBlocker, BioProtect, CallBar, iFile, iTransmission 4, Springtomize 3 et j'attends avec impatience AnyAttach (pièce jointe dans Mail.app) et le fameux DisplayOut pour pouvoir regarder la ligue 1 Orange (version iOS inclus dans forfait) sur mon AppleTV sans le code erreur A42 ..

avatar Ginger bread | 

@CNNN :
Tu as oublié Malwares et ouvertures aux Dénis de Services. ;)

avatar trarzopir | 

@CNNN :
Oui oui, elles sont rebouchées. Tu peux dormir tranquille...

avatar CNNN | 

Oui les logiciels de JB ont tjs rebouchés les failles utilisées.. Depuis iOS 3 de mémoire.
Donc un iphone en version X.Y jailbreaké est plus sécurisé qu'un iphone en version X.Y non Jailbreaké, à condition bien entendu de changer son MDP root et de ne pas ajouter de sources pirates..

avatar rondex8002 | 

Apple n'a jamais voulu – contrairement à de nombreux groupes – à rémunérer les développeurs qui trouve des failles dans OS X et iOS ! C'est stupide, cela ne leur coûte quasiment rien, et ça force ceux qui découvrent des failles à en informer Apple.

avatar joneskind | 

@rondex8002

Je pense que les auteurs du jailbreak trouvent facilement moyen de se rémunérer. Par ailleurs, Apple doit avoir des mecs payés pour trouver et boucher les failles d'iOS. Je pense qu'Apple a intérêt à maintenir une sorte d'équipe de JB indépendante. C'est le meilleur moyen pour que les failles soient publiées rapidement plutôt qu'exploitées en sous-main pour des actions malveillantes. Du coup, je crois qu'il y a un équilibre plutôt sain entre la communauté du jailbreak et Apple.

Je me demande si Apple n'y a pas un intérêt d'ailleurs.

Je m'explique: l'iPhone est une maison. Plutôt que de fermer toutes les portes en laissant des malandrins chercher une porte qu'elle aurait oublié de fermer, Apple préfère laisser délibérément une porte ouverte afin de garder le contrôle sur ce qui s'y passe et refermer la porte si le besoin s'en fait sentir.

C'est peut-être un peu tiré par les cheveux, mais pour moi ça ressemble à une belle partie d'échec.

avatar trolloloI | 

joneskind

"Apple préfère laisser délibérément une porte ouverte afin de garder le contrôle sur ce qui s'y passe et refermer la porte si le besoin s'en fait sentir."

C'vachement risqué comme stratégie, si le moindre leak venait confirmer un truc de se genre. Déjà paye ta class action aux usa, on te vends un produit "sécurisé" mais avec des trous fait dedans de façon délibérer, cool... Et ca va encore alimenter encore plus la théorie du complot et le niveau de copinage qu'a apple avec les services de renseignement.

CONNEXION UTILISATEUR