Apple s'occupe d'une grosse faille de sécurité « zero day » dans HomeKit

Mickaël Bazoge | | 22:11 |  49

Dans iOS 11.2, HomeKit présente une faille « zero day », qui permet à un malandrin de prendre le contrôle d'accessoires domotiques — et quand on sait qu'il existe des serrures connectées qui sont censées protéger des habitations, l'affaire a été prise très au sérieux par Apple, qui a bouché une partie de la faille côté serveur et avec les versions finales d'iOS 11.2 et watchOS 4.2. Ce patch limite certaines fonctions de HomeKit. Côté client, une mise à jour pour iOS sera livrée dans le courant de la semaine prochaine, elle rétablira l'intégralité des fonctions de la plateforme domotique.

C'est 9to5Mac qui est tombé sur cette vulnérabilité que le site ne compte pas décrire en détails, pour des raisons évidentes de sécurité. La faille concerne le framework HomeKit plutôt que des appareils individuels ; elle permet donc le contrôle par un tiers d'un produit HomeKit : une nuisance s'il s'agit d'une ampoule, un sérieux problème de sécurité pour une serrure connectée.

La manipulation est « difficile à reproduire ». Elle nécessite un iPhone ou un iPad sous iOS 11.2, connecté au compte iCloud de l'utilisateur. Apple est au courant de cette vulnérabilité depuis la fin du mois d'octobre, elle a été en partie corrigée avec les versions finales d'iOS 11.2 et de watchOS 4.2, mais pas complètement, d'où le patch côté serveur. Ce correctif a un défaut, il désactive l'accès des produits HomeKit aux utilisateurs partagés. Cette fonction sera rétablie dans une prochaine mise à jour d'iOS.

Les utilisateurs n'ont rien de spécial à faire, si ce n'est attendre la mise à jour.

Source : 9to5Mac

Catégorie : 
Tags : 

Les derniers dossiers sur iGeneration

Ailleurs sur le Web


49 Commentaires Signaler un abus dans les commentaires

avatar Elkaar 07/12/2017 - 22:13 via iGeneration pour iOS

L’hémorragie continue...😁😁😁

avatar bonnepoire 08/12/2017 - 11:04

Dans la mesure où il faut être connecté au compte iCloud de l'utilisateur, c’est plus vraiment une faille.

avatar r e m y 08/12/2017 - 11:53 via iGeneration pour iOS

@bonnepoire

Il faut un iphone ou iPad sous iOS 11.2 connecté au compte iCloud du propriétaire, c'est pas tout à fait avoir accès au compte icloud!
Il "suffit" de voler l'iPhone et faire en sorte qu'il soit déverrouillé ...

avatar bonnepoire 08/12/2017 - 13:51

Il suffit de voler tes clefs de bagnole pour partir avec. Ce que tu dis est d’une logique implacable.

avatar r e m y 08/12/2017 - 14:09 via iGeneration pour iOS

@bonnepoire

Desolé, mais c'est tout ce que l'on sait de cette faille car 9to5mac ne veut pas en dire plus tant qu'elle n'est pas comblée...
J'imagine que c'est un peu plus sérieux que ça pour qu'Apple ait pris le sujet au sérieux.

avatar victoireviclaux 08/12/2017 - 16:08 via iGeneration pour iOS

@Elkaar

Comme si tout les appareils n'étaient pas vulnérables. Le risque zéro n'existe pas !

Plus on ajoute de fonctionnalités, plus les bugs peuvent être de plus en plus complexes et plus long à corriger.

avatar je-deteste-android- 07/12/2017 - 22:14 via iGeneration pour iOS (edité)

Ça devient un feuilleton ! 🤣

avatar C1rc3@0rc 07/12/2017 - 23:27

A chaque jour sa failles/bug/connerie
A chaque mise a jour son lots de desesperances, de decadence
A chaque pas (de version), les rires croissent.
A chaque jours suffit sa peine, mais la, les clients Apple en prennent du lourd...

Mais bon quand on tient un filon, on va pas creuser a coté, hein... Mais peut etre qu'a force de creuser Ive va sortir en Chine?

La meilleure pub pour Android et Windows, c'est iOS 11 et MacOS High Sierra
Allez, mardi Apple va sortir l'iMac Pro, un peu en avance, cela fera taire les commentaires sur les failles... pendant quelques jours.
Show must go on (et pas gone)... La representation continue 🤡

avatar iRobot 5S 08/12/2017 - 06:04 via iGeneration pour iOS

@C1rc3@0rc

Si je m'attendais un jour à voir ces paroles ici un jour, connaissant l'amour que portent les lecteurs de MacG au rap 😂

avatar roccoyop 08/12/2017 - 09:49

@C1rc3@0rc

C'est vrai que Android et Windows sont tellement exemplaires.

Tu fais toute une montagne à partir de rien du tout. Ah si à partir d'une faille qui est déjà bloquée, et même avant quasi impossible à reproduire.

Avant, il fallait savoir qu'un mec utilisait des produits Homekit, il fallait avoir accès à son compte iCloud ET il fallait savoir exploiter la faille.
Partant de là, c'est vrai que sur Android il faut au moins se faire examiner la prostate pour arriver à faire quelque chose en plus d'avoir tous les éléments ci-dessus. Forcément, ça décourage un peu plus.

Sinon, puisque d'après toi, c'est la cata, j'ai des produits Homekit chez moi. Viens me nuire puisque tu es en train de prédire la fin d'Apple.

avatar wilfried50 07/12/2017 - 22:14 via iGeneration pour iOS

Nan sans déc ?! LA faille qu’il ne faut pas avoir ! J’ouvre la baraque j’éteins les systèmes des surveillances et je commande une pizza au frais du proprio 😎👍🏼

avatar jean512 07/12/2017 - 22:27

bonne chance pour chopper son compte iCloud déja xD

avatar bonnepoire 08/12/2017 - 11:05

Surtout qu’il faut l’authentification à 2 facteurs pour utiliser homekit.

avatar a_y 07/12/2017 - 22:16 via iGeneration pour iOS

Cool 🤦🏻‍♂️🤦🏻‍♂️🤦🏻‍♂️

avatar Rodri31 07/12/2017 - 22:16 via iGeneration pour iOS

Et on continue... 😨😭

avatar NerdForever 07/12/2017 - 23:10 via iGeneration pour iOS

@Rodri31

Apple est au top en ce moment! Bon sur ce coup au moins ils réagissent vite, c'est le principal...

avatar Gillesgilles2 07/12/2017 - 22:17 via iGeneration pour iOS

Zéro day veut dire , vulnérabilité informatique n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu.

Donc à priori , Apple la découvert elle même et est en train de la corriger

avatar sangoke 07/12/2017 - 23:07 via iGeneration pour iOS

@Gillesgilles2

Tu n’a pas dû lire l’article, c’est 9to5Mac qui a trouvé la faille et l’a communiquée à Apple pour qu’elle la comble. Tant que la faille existe et qu’il n’existe pas de patch, c’est toujours un zéro day mais du moment que la mise à jour sera sortie, à n’en sera plus un

avatar reborn 07/12/2017 - 22:22 via iGeneration pour iOS

On rappellera que pas un seul appareil homekit ne fut impliqué dans un botnet..

avatar dorninem 07/12/2017 - 22:23 via iGeneration pour iOS

Je me demande si le fait que je n’arrive plus a gérer mon ampoule Koogeek a un rapport, ceci depuis la 11.2
J’ai carrément tout viré et impossible de remettre cette 😡 d'ampoule de 🤬

avatar bonnepoire 08/12/2017 - 11:06

J’ai pas confiance dans les produits de cette marque. Pour moi, Hue et Elgato. Je vais tester du sonoff.

avatar XiliX 08/12/2017 - 14:33

@bonnepoire

Les ampoules Ikea fonctionnent aussi très bien

avatar LisbethSalander 07/12/2017 - 22:32 via iGeneration pour iOS

MR. Robot saison 2, Darlene prend le contrôle de la maison domotique de «  Mme le Bourreau «

avatar bonnepoire 08/12/2017 - 11:07

La 3 est en cours donc la 4 si tu veux être dans la nouveauté.

avatar lepoulpebaleine 08/12/2017 - 23:01 via iGeneration pour iOS

@LisbethSalander

> MR. Robot saison 2,

Très bonne référence !
Ma série préférée de tous les temps.

avatar fousfous 07/12/2017 - 22:33 via iGeneration pour iOS

Pendant ce temps chez la concurrence les failles sont plus facilement exploitable mais on en parle pas!

avatar sylvain98 07/12/2017 - 22:40 via iGeneration pour iOS

Une petite question : quelle est le nom du produit sur la photo s’il vous plaît ?

avatar amxru 07/12/2017 - 22:44 via iGeneration pour iOS

@sylvain98

Il s’agit de la serrure connectée August
http://august.com

avatar sylvain98 07/12/2017 - 22:45 via iGeneration pour iOS

@amxru

Merci beaucoup

avatar Chris K 07/12/2017 - 22:42

Sérieux ? Il y en a qui mettent des serrures connectées à leur porte d’entrée ? 😬

avatar jt_69.V 07/12/2017 - 22:47 via iGeneration pour iOS

@Chris K

Ouais, et sur une porte blindée j’imagine... on se demande vraiment jusqu’où ira la connerie humaine.

avatar XiliX 08/12/2017 - 14:35

@jt_69.V

"Sérieux ? Il y en a qui mettent des serrures connectées à leur porte d’entrée "

Et pourquoi pas ?

avatar lepoulpebaleine 08/12/2017 - 23:06 via iGeneration pour iOS

@Chris K

> Sérieux ? Il y en a qui mettent des serrures
> connectées à leur porte d’entrée ? 😬

Exactement la question que je me pose. Même moi qui soit ultra-techno cela ne me viendrai pas à l’esprit. Peut-être justement parce que je sais trop bien à quel point il peut y avoir des failles dans ce genre de dispositif.

L’Internet Of Things nous promet plein de choses plus ou moins drôles !!

avatar Hydreed 07/12/2017 - 22:43 via iGeneration pour iOS (edité)

A chaque maj d’iOS depuis presque un an j’essai de partager mon domicile, mais ça mouline dans le vide une fois l’invitation reçue et acceptée.. mais si ce n’est que depuis 11.2 c’est encore un autre problème.

avatar bonnepoire 08/12/2017 - 11:07

Pas de soucis pour ma part.

avatar Paquito06 07/12/2017 - 22:48 via iGeneration pour iOS

Je n’ai que 3 ampoules couleur Philips Hue que j’utilise avec HomeKit. Un regal pour l’automatisation (horaire/geolocalisation) et les requetes avec Siri (iPhone/AW). J’espere que la maj viendra assez rapidement car HomeKit est partagé.

avatar occam 07/12/2017 - 23:19

DAVE : Open the pod bay doors, Hal.
HAL : I’m sorry, Dave. I’m afraid I can’t do that.
...

DAVE : Open the pod bay doors, HomeKit.
HomeKit : Yessir !

avatar letofzurichois 07/12/2017 - 23:59 via iGeneration pour iOS (edité)

Il me semble en relisant l'article de 9to5mac, que la faille date d'octobre, et ils ont eu le droit à une démo de celle-ci.
La découverte ne vient donc pas d’eux.

avatar simnico971 08/12/2017 - 00:11 via iGeneration pour iOS

Une de plus ou une de moins...

avatar marenostrum 08/12/2017 - 00:12

les gens découvrent les portes dérobées en fait. ils vont pas les laisser tranquille.

avatar Victor Bling 08/12/2017 - 01:15 via iGeneration pour iOS

Dans l’application maison (HomeKit) Apple vient de rajouter le HomePod comme concentrateur, ça se précise :)

avatar R1x_Fr1x 08/12/2017 - 04:36 via iGeneration pour iOS

La vraie faille pour pas dire faillite c'est de vouloir tout acheter dès que la pub est bien faite et que c'est un bidule "connecté".

Acheter une serrure connectée? Sérieusement est-on dénué à ce point de bon sens?

La domotique c'est très bien. Mais il n'y a pas besoin d'Internet pour un accès à distance. Un réseau local stocké localement.

Et tant pis pour votre pain de mie qui n'aura pas été grillé 20 secondes avant votre arrivée ou vos volets qu'il faudra ouvrir une fois que vous êtes chez vous.

Au moins ça permettra de ne pas oublier d'être toujours vigilant en pensant soi même plutôt que de compter sur le cloud Google où transitant par la Chine via la passerelle Xiaomi.

avatar huexley 08/12/2017 - 07:59

Visiblement oui…

avatar karabache 08/12/2017 - 06:59 via iGeneration pour iOS

Il faut que l’autre personne soit connectée sur votre compte iCloud et possède un iPad ou iPhone sous iOS 11.2 pour que ça fonctionne...alors ne faites pas comme si votre couverture James Bond était en péril...bonne journée

avatar bugman23 08/12/2017 - 07:06 via iGeneration pour iOS

Vu que l’ensemble de mon éclairage est piloté et partagé avec madame...super, la prochaine maj sera sans moi.

avatar bonnepoire 08/12/2017 - 11:10

Faire confiance à madame en plus... 😱

avatar mrsade 08/12/2017 - 10:52

Elle est ou la faille je ne comprend pas ? Vous dites qu’il faut un iphone ou ipad connecté sous le compte icloud de la « victime »... oui donc dans ce cas on peut dire que il y a aussi une faille au niveau des contacts, du trousseau, des calendriers, des photos, bref tt ce qu’il y a sur icloud... bien sur que si on a accés au compte icloud on peut controler homekit! Comme tout le reste!
Le genre d’article qui me laisse perplexe..

avatar bonnepoire 08/12/2017 - 11:15

Si on te dit comment c’est plus une zero day.

avatar jj.dr 08/12/2017 - 12:15 via iGeneration pour iOS

Étant utilisateur HomeKit, les titres m’ont inquiété, les articles m’ont rassuré...
Effectivement le mot faille semble exagéré si il se révèle bien qu’il faut un appareil (nécessitant une authentification à deux facteurs pour mémoire) connecté à un compte iCloud (protège par un mot de passe). Quad. Au tel ou iPad déverrouillé et accessible cité plus haut : peu importe la faille HomeKit en ce caspuisque le tel étant accessible, tout est possible... un peu comme une carte bancaire volée avec le code écrit dessus !

Mais j’imagine que la mode des « failles Apple » contribue à la popularité de ces news !