Apple s'occupe d'une grosse faille de sécurité « zero day » dans HomeKit

Mickaël Bazoge |

Dans iOS 11.2, HomeKit présente une faille « zero day », qui pouvait permettre à un malandrin de prendre le contrôle d'accessoires domotiques — et quand on sait qu'il existe des serrures connectées censées protéger des habitations, l'affaire a été prise très au sérieux par Apple. Le constructeur a bouché une partie de la faille côté serveur et avec les versions finales d'iOS 11.2 et watchOS 4.2. Ce patch limite certaines fonctions de HomeKit. Côté client, une mise à jour pour iOS sera livrée dans le courant de la semaine prochaine, elle rétablira l'intégralité des fonctions de la plateforme domotique.

C'est 9to5Mac qui est tombé sur cette vulnérabilité que le site ne compte pas décrire en détails, pour des raisons évidentes de sécurité. La faille concerne le framework HomeKit plutôt que des appareils individuels ; elle permet donc le contrôle par un tiers d'un produit HomeKit : une nuisance s'il s'agit d'une ampoule, un sérieux problème de sécurité pour une serrure connectée.

La manipulation est « difficile à reproduire ». Elle nécessite un iPhone ou un iPad sous iOS 11.2, connecté au compte iCloud de l'utilisateur. Apple est au courant de cette vulnérabilité depuis la fin du mois d'octobre, elle a été en partie corrigée avec les versions finales d'iOS 11.2 et de watchOS 4.2, mais pas complètement, d'où le patch côté serveur. Ce correctif a un défaut, il désactive l'accès des produits HomeKit aux utilisateurs partagés. Cette fonction sera rétablie dans une prochaine mise à jour d'iOS.

Les utilisateurs n'ont rien de spécial à faire, si ce n'est attendre la mise à jour.

Source
Tags
avatar  Elkaar | 

L’hémorragie continue...😁😁😁

avatar  bonnepoire | 

Dans la mesure où il faut être connecté au compte iCloud de l'utilisateur, c’est plus vraiment une faille.

avatar  r e m y | 

@bonnepoire

Il faut un iphone ou iPad sous iOS 11.2 connecté au compte iCloud du propriétaire, c'est pas tout à fait avoir accès au compte icloud!
Il "suffit" de voler l'iPhone et faire en sorte qu'il soit déverrouillé ...

avatar  bonnepoire | 

Il suffit de voler tes clefs de bagnole pour partir avec. Ce que tu dis est d’une logique implacable.

avatar  r e m y | 

@bonnepoire

Desolé, mais c'est tout ce que l'on sait de cette faille car 9to5mac ne veut pas en dire plus tant qu'elle n'est pas comblée...
J'imagine que c'est un peu plus sérieux que ça pour qu'Apple ait pris le sujet au sérieux.

avatar  victoireviclaux | 

@Elkaar

Comme si tout les appareils n'étaient pas vulnérables. Le risque zéro n'existe pas !

Plus on ajoute de fonctionnalités, plus les bugs peuvent être de plus en plus complexes et plus long à corriger.

avatar  je-deteste-android- | 

Ça devient un feuilleton ! 🤣

avatar  C1rc3@0rc | 

A chaque jour sa failles/bug/connerie
A chaque mise a jour son lots de desesperances, de decadence
A chaque pas (de version), les rires croissent.
A chaque jours suffit sa peine, mais la, les clients Apple en prennent du lourd...

Mais bon quand on tient un filon, on va pas creuser a coté, hein... Mais peut etre qu'a force de creuser Ive va sortir en Chine?

La meilleure pub pour Android et Windows, c'est iOS 11 et MacOS High Sierra
Allez, mardi Apple va sortir l'iMac Pro, un peu en avance, cela fera taire les commentaires sur les failles... pendant quelques jours.
Show must go on (et pas gone)... La representation continue 🤡

avatar  iRobot 5S | 

@C1rc3@0rc

Si je m'attendais un jour à voir ces paroles ici un jour, connaissant l'amour que portent les lecteurs de MacG au rap 😂

avatar  roccoyop | 

@C1rc3@0rc

C'est vrai que Android et Windows sont tellement exemplaires.

Tu fais toute une montagne à partir de rien du tout. Ah si à partir d'une faille qui est déjà bloquée, et même avant quasi impossible à reproduire.

Avant, il fallait savoir qu'un mec utilisait des produits Homekit, il fallait avoir accès à son compte iCloud ET il fallait savoir exploiter la faille.
Partant de là, c'est vrai que sur Android il faut au moins se faire examiner la prostate pour arriver à faire quelque chose en plus d'avoir tous les éléments ci-dessus. Forcément, ça décourage un peu plus.

Sinon, puisque d'après toi, c'est la cata, j'ai des produits Homekit chez moi. Viens me nuire puisque tu es en train de prédire la fin d'Apple.

avatar  wilfried50 | 

Nan sans déc ?! LA faille qu’il ne faut pas avoir ! J’ouvre la baraque j’éteins les systèmes des surveillances et je commande une pizza au frais du proprio 😎👍🏼

avatar  jean512 | 

bonne chance pour chopper son compte iCloud déja xD

avatar  bonnepoire | 

Surtout qu’il faut l’authentification à 2 facteurs pour utiliser homekit.

avatar  a_y | 

Cool 🤦🏻‍♂️🤦🏻‍♂️🤦🏻‍♂️

avatar  Rodri31 | 

Et on continue... 😨😭

avatar  NerdForever | 

@Rodri31

Apple est au top en ce moment! Bon sur ce coup au moins ils réagissent vite, c'est le principal...

avatar  Gillesgilles2 | 

Zéro day veut dire , vulnérabilité informatique n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu.

Donc à priori , Apple la découvert elle même et est en train de la corriger

avatar  sangoke | 

@Gillesgilles2

Tu n’a pas dû lire l’article, c’est 9to5Mac qui a trouvé la faille et l’a communiquée à Apple pour qu’elle la comble. Tant que la faille existe et qu’il n’existe pas de patch, c’est toujours un zéro day mais du moment que la mise à jour sera sortie, à n’en sera plus un

avatar  reborn | 

On rappellera que pas un seul appareil homekit ne fut impliqué dans un botnet..

avatar  dorninem | 

Je me demande si le fait que je n’arrive plus a gérer mon ampoule Koogeek a un rapport, ceci depuis la 11.2
J’ai carrément tout viré et impossible de remettre cette 😡 d'ampoule de 🤬

avatar  bonnepoire | 

J’ai pas confiance dans les produits de cette marque. Pour moi, Hue et Elgato. Je vais tester du sonoff.

avatar  XiliX | 

@bonnepoire

Les ampoules Ikea fonctionnent aussi très bien

avatar  LisbethSalander | 

MR. Robot saison 2, Darlene prend le contrôle de la maison domotique de «  Mme le Bourreau «

avatar  bonnepoire | 

La 3 est en cours donc la 4 si tu veux être dans la nouveauté.

avatar  lepoulpebaleine | 

@LisbethSalander

> MR. Robot saison 2,

Très bonne référence !
Ma série préférée de tous les temps.

avatar  fousfous | 

Pendant ce temps chez la concurrence les failles sont plus facilement exploitable mais on en parle pas!

avatar  sylvain98 | 

Une petite question : quelle est le nom du produit sur la photo s’il vous plaît ?

avatar  amxru | 

@sylvain98

Il s’agit de la serrure connectée August
http://august.com

avatar  sylvain98 | 

@amxru

Merci beaucoup

avatar  Chris K | 

Sérieux ? Il y en a qui mettent des serrures connectées à leur porte d’entrée ? 😬

avatar  jt_69.V | 

@Chris K

Ouais, et sur une porte blindée j’imagine... on se demande vraiment jusqu’où ira la connerie humaine.

avatar  XiliX | 

@jt_69.V

"Sérieux ? Il y en a qui mettent des serrures connectées à leur porte d’entrée "

Et pourquoi pas ?

avatar  lepoulpebaleine | 

@Chris K

> Sérieux ? Il y en a qui mettent des serrures
> connectées à leur porte d’entrée ? 😬

Exactement la question que je me pose. Même moi qui soit ultra-techno cela ne me viendrai pas à l’esprit. Peut-être justement parce que je sais trop bien à quel point il peut y avoir des failles dans ce genre de dispositif.

L’Internet Of Things nous promet plein de choses plus ou moins drôles !!

avatar  Hydreed | 

A chaque maj d’iOS depuis presque un an j’essai de partager mon domicile, mais ça mouline dans le vide une fois l’invitation reçue et acceptée..

avatar  bonnepoire | 

Pas de soucis pour ma part.

avatar  Paquito06 | 

Je n’ai que 3 ampoules couleur Philips Hue que j’utilise avec HomeKit. Un regal pour l’automatisation (horaire/geolocalisation) et les requetes avec Siri (iPhone/AW). J’espere que la maj viendra assez rapidement car HomeKit est partagé.

avatar  occam | 

DAVE : Open the pod bay doors, Hal.
HAL : I’m sorry, Dave. I’m afraid I can’t do that.
...

DAVE : Open the pod bay doors, HomeKit.
HomeKit : Yessir !

avatar  letofzurichois | 

Il me semble en relisant l'article de 9to5mac, que la faille date d'octobre, et ils ont eu le droit à une démo de celle-ci.
La découverte ne vient donc pas d’eux.

avatar  simnico971 | 

Une de plus ou une de moins...

avatar  marenostrum | 

les gens découvrent les portes dérobées en fait. ils vont pas les laisser tranquille.

avatar  Victor Bling | 

Dans l’application maison (HomeKit) Apple vient de rajouter le HomePod comme concentrateur, ça se précise :)

avatar  R1x_Fr1x | 

La vraie faille pour pas dire faillite c'est de vouloir tout acheter dès que la pub est bien faite et que c'est un bidule "connecté".

Acheter une serrure connectée? Sérieusement est-on dénué à ce point de bon sens?

La domotique c'est très bien. Mais il n'y a pas besoin d'Internet pour un accès à distance. Un réseau local stocké localement.

Et tant pis pour votre pain de mie qui n'aura pas été grillé 20 secondes avant votre arrivée ou vos volets qu'il faudra ouvrir une fois que vous êtes chez vous.

Au moins ça permettra de ne pas oublier d'être toujours vigilant en pensant soi même plutôt que de compter sur le cloud Google où transitant par la Chine via la passerelle Xiaomi.

avatar  huexley | 

Visiblement oui…

avatar  karabache | 

Il faut que l’autre personne soit connectée sur votre compte iCloud et possède un iPad ou iPhone sous iOS 11.2 pour que ça fonctionne...alors ne faites pas comme si votre couverture James Bond était en péril...bonne journée

avatar  bugman23 | 

Vu que l’ensemble de mon éclairage est piloté et partagé avec madame...super, la prochaine maj sera sans moi.

avatar  bonnepoire | 

Faire confiance à madame en plus... 😱

avatar  mrsade | 

Elle est ou la faille je ne comprend pas ? Vous dites qu’il faut un iphone ou ipad connecté sous le compte icloud de la « victime »... oui donc dans ce cas on peut dire que il y a aussi une faille au niveau des contacts, du trousseau, des calendriers, des photos, bref tt ce qu’il y a sur icloud... bien sur que si on a accés au compte icloud on peut controler homekit! Comme tout le reste!
Le genre d’article qui me laisse perplexe..

avatar  bonnepoire | 

Si on te dit comment c’est plus une zero day.

avatar  jj.dr | 

Étant utilisateur HomeKit, les titres m’ont inquiété, les articles m’ont rassuré...
Effectivement le mot faille semble exagéré si il se révèle bien qu’il faut un appareil (nécessitant une authentification à deux facteurs pour mémoire) connecté à un compte iCloud (protège par un mot de passe). Quad. Au tel ou iPad déverrouillé et accessible cité plus haut : peu importe la faille HomeKit en ce caspuisque le tel étant accessible, tout est possible... un peu comme une carte bancaire volée avec le code écrit dessus !

Mais j’imagine que la mode des « failles Apple » contribue à la popularité de ces news !

CONNEXION UTILISATEUR