Apple s'occupe d'une grosse faille de sécurité « zero day » dans HomeKit
Dans iOS 11.2, HomeKit présente une faille « zero day », qui pouvait permettre à un malandrin de prendre le contrôle d'accessoires domotiques — et quand on sait qu'il existe des serrures connectées censées protéger des habitations, l'affaire a été prise très au sérieux par Apple. Le constructeur a bouché une partie de la faille côté serveur et avec les versions finales d'iOS 11.2 et watchOS 4.2. Ce patch limite certaines fonctions de HomeKit. Côté client, une mise à jour pour iOS sera livrée dans le courant de la semaine prochaine, elle rétablira l'intégralité des fonctions de la plateforme domotique.
C'est 9to5Mac qui est tombé sur cette vulnérabilité que le site ne compte pas décrire en détails, pour des raisons évidentes de sécurité. La faille concerne le framework HomeKit plutôt que des appareils individuels ; elle permet donc le contrôle par un tiers d'un produit HomeKit : une nuisance s'il s'agit d'une ampoule, un sérieux problème de sécurité pour une serrure connectée.
La manipulation est « difficile à reproduire ». Elle nécessite un iPhone ou un iPad sous iOS 11.2, connecté au compte iCloud de l'utilisateur. Apple est au courant de cette vulnérabilité depuis la fin du mois d'octobre, elle a été en partie corrigée avec les versions finales d'iOS 11.2 et de watchOS 4.2, mais pas complètement, d'où le patch côté serveur. Ce correctif a un défaut, il désactive l'accès des produits HomeKit aux utilisateurs partagés. Cette fonction sera rétablie dans une prochaine mise à jour d'iOS.
Les utilisateurs n'ont rien de spécial à faire, si ce n'est attendre la mise à jour.
L’hémorragie continue...😁😁😁
Dans la mesure où il faut être connecté au compte iCloud de l'utilisateur, c’est plus vraiment une faille.
@bonnepoire
Il faut un iphone ou iPad sous iOS 11.2 connecté au compte iCloud du propriétaire, c'est pas tout à fait avoir accès au compte icloud!
Il "suffit" de voler l'iPhone et faire en sorte qu'il soit déverrouillé ...
Il suffit de voler tes clefs de bagnole pour partir avec. Ce que tu dis est d’une logique implacable.
@bonnepoire
Desolé, mais c'est tout ce que l'on sait de cette faille car 9to5mac ne veut pas en dire plus tant qu'elle n'est pas comblée...
J'imagine que c'est un peu plus sérieux que ça pour qu'Apple ait pris le sujet au sérieux.
@Elkaar
Comme si tout les appareils n'étaient pas vulnérables. Le risque zéro n'existe pas !
Plus on ajoute de fonctionnalités, plus les bugs peuvent être de plus en plus complexes et plus long à corriger.
Ça devient un feuilleton ! 🤣
A chaque jour sa failles/bug/connerie
A chaque mise a jour son lots de desesperances, de decadence
A chaque pas (de version), les rires croissent.
A chaque jours suffit sa peine, mais la, les clients Apple en prennent du lourd...
Mais bon quand on tient un filon, on va pas creuser a coté, hein... Mais peut etre qu'a force de creuser Ive va sortir en Chine?
La meilleure pub pour Android et Windows, c'est iOS 11 et MacOS High Sierra
Allez, mardi Apple va sortir l'iMac Pro, un peu en avance, cela fera taire les commentaires sur les failles... pendant quelques jours.
Show must go on (et pas gone)... La representation continue 🤡
@C1rc3@0rc
Si je m'attendais un jour à voir ces paroles ici un jour, connaissant l'amour que portent les lecteurs de MacG au rap 😂
@C1rc3@0rc
C'est vrai que Android et Windows sont tellement exemplaires.
Tu fais toute une montagne à partir de rien du tout. Ah si à partir d'une faille qui est déjà bloquée, et même avant quasi impossible à reproduire.
Avant, il fallait savoir qu'un mec utilisait des produits Homekit, il fallait avoir accès à son compte iCloud ET il fallait savoir exploiter la faille.
Partant de là, c'est vrai que sur Android il faut au moins se faire examiner la prostate pour arriver à faire quelque chose en plus d'avoir tous les éléments ci-dessus. Forcément, ça décourage un peu plus.
Sinon, puisque d'après toi, c'est la cata, j'ai des produits Homekit chez moi. Viens me nuire puisque tu es en train de prédire la fin d'Apple.
Nan sans déc ?! LA faille qu’il ne faut pas avoir ! J’ouvre la baraque j’éteins les systèmes des surveillances et je commande une pizza au frais du proprio 😎👍🏼
bonne chance pour chopper son compte iCloud déja xD
Surtout qu’il faut l’authentification à 2 facteurs pour utiliser homekit.
Cool 🤦🏻♂️🤦🏻♂️🤦🏻♂️
Et on continue... 😨😭
@Rodri31
Apple est au top en ce moment! Bon sur ce coup au moins ils réagissent vite, c'est le principal...
Zéro day veut dire , vulnérabilité informatique n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu.
Donc à priori , Apple la découvert elle même et est en train de la corriger
@Gillesgilles2
Tu n’a pas dû lire l’article, c’est 9to5Mac qui a trouvé la faille et l’a communiquée à Apple pour qu’elle la comble. Tant que la faille existe et qu’il n’existe pas de patch, c’est toujours un zéro day mais du moment que la mise à jour sera sortie, à n’en sera plus un
On rappellera que pas un seul appareil homekit ne fut impliqué dans un botnet..
Je me demande si le fait que je n’arrive plus a gérer mon ampoule Koogeek a un rapport, ceci depuis la 11.2
J’ai carrément tout viré et impossible de remettre cette 😡 d'ampoule de 🤬
J’ai pas confiance dans les produits de cette marque. Pour moi, Hue et Elgato. Je vais tester du sonoff.
@bonnepoire
Les ampoules Ikea fonctionnent aussi très bien
MR. Robot saison 2, Darlene prend le contrôle de la maison domotique de « Mme le Bourreau «
La 3 est en cours donc la 4 si tu veux être dans la nouveauté.
@LisbethSalander
> MR. Robot saison 2,
Très bonne référence !
Ma série préférée de tous les temps.
Pendant ce temps chez la concurrence les failles sont plus facilement exploitable mais on en parle pas!
Une petite question : quelle est le nom du produit sur la photo s’il vous plaît ?
@sylvain98
Il s’agit de la serrure connectée August
http://august.com
@amxru
Merci beaucoup
Sérieux ? Il y en a qui mettent des serrures connectées à leur porte d’entrée ? 😬
@Chris K
Ouais, et sur une porte blindée j’imagine... on se demande vraiment jusqu’où ira la connerie humaine.
@jt_69.V
"Sérieux ? Il y en a qui mettent des serrures connectées à leur porte d’entrée "
Et pourquoi pas ?
@Chris K
> Sérieux ? Il y en a qui mettent des serrures
> connectées à leur porte d’entrée ? 😬
Exactement la question que je me pose. Même moi qui soit ultra-techno cela ne me viendrai pas à l’esprit. Peut-être justement parce que je sais trop bien à quel point il peut y avoir des failles dans ce genre de dispositif.
L’Internet Of Things nous promet plein de choses plus ou moins drôles !!
A chaque maj d’iOS depuis presque un an j’essai de partager mon domicile, mais ça mouline dans le vide une fois l’invitation reçue et acceptée..
Pas de soucis pour ma part.
Je n’ai que 3 ampoules couleur Philips Hue que j’utilise avec HomeKit. Un regal pour l’automatisation (horaire/geolocalisation) et les requetes avec Siri (iPhone/AW). J’espere que la maj viendra assez rapidement car HomeKit est partagé.
DAVE : Open the pod bay doors, Hal.
HAL : I’m sorry, Dave. I’m afraid I can’t do that.
...
DAVE : Open the pod bay doors, HomeKit.
HomeKit : Yessir !
Il me semble en relisant l'article de 9to5mac, que la faille date d'octobre, et ils ont eu le droit à une démo de celle-ci.
La découverte ne vient donc pas d’eux.
Une de plus ou une de moins...
les gens découvrent les portes dérobées en fait. ils vont pas les laisser tranquille.
Dans l’application maison (HomeKit) Apple vient de rajouter le HomePod comme concentrateur, ça se précise :)
La vraie faille pour pas dire faillite c'est de vouloir tout acheter dès que la pub est bien faite et que c'est un bidule "connecté".
Acheter une serrure connectée? Sérieusement est-on dénué à ce point de bon sens?
La domotique c'est très bien. Mais il n'y a pas besoin d'Internet pour un accès à distance. Un réseau local stocké localement.
Et tant pis pour votre pain de mie qui n'aura pas été grillé 20 secondes avant votre arrivée ou vos volets qu'il faudra ouvrir une fois que vous êtes chez vous.
Au moins ça permettra de ne pas oublier d'être toujours vigilant en pensant soi même plutôt que de compter sur le cloud Google où transitant par la Chine via la passerelle Xiaomi.
Visiblement oui…
Il faut que l’autre personne soit connectée sur votre compte iCloud et possède un iPad ou iPhone sous iOS 11.2 pour que ça fonctionne...alors ne faites pas comme si votre couverture James Bond était en péril...bonne journée
Vu que l’ensemble de mon éclairage est piloté et partagé avec madame...super, la prochaine maj sera sans moi.
Faire confiance à madame en plus... 😱
Elle est ou la faille je ne comprend pas ? Vous dites qu’il faut un iphone ou ipad connecté sous le compte icloud de la « victime »... oui donc dans ce cas on peut dire que il y a aussi une faille au niveau des contacts, du trousseau, des calendriers, des photos, bref tt ce qu’il y a sur icloud... bien sur que si on a accés au compte icloud on peut controler homekit! Comme tout le reste!
Le genre d’article qui me laisse perplexe..
Si on te dit comment c’est plus une zero day.
Étant utilisateur HomeKit, les titres m’ont inquiété, les articles m’ont rassuré...
Effectivement le mot faille semble exagéré si il se révèle bien qu’il faut un appareil (nécessitant une authentification à deux facteurs pour mémoire) connecté à un compte iCloud (protège par un mot de passe). Quad. Au tel ou iPad déverrouillé et accessible cité plus haut : peu importe la faille HomeKit en ce caspuisque le tel étant accessible, tout est possible... un peu comme une carte bancaire volée avec le code écrit dessus !
Mais j’imagine que la mode des « failles Apple » contribue à la popularité de ces news !