HomeKit : la sécurité de la maison Apple se fissure

Nicolas Furno |

L’affaire a fait grand bruit au début du mois, et pour cause. HomeKit, le protocole de domotique d’Apple censé être le plus sûr de l’industrie, contenait une faille permettant à n’importe qui de contrôler n’importe quel accessoire à distance. Autant dire qu’à l’heure où l’on utilise des caméras de surveillance et même des serrures connectées, c’était une faille de sécurité majeure.

Photo Khaos Tian. Cliquer pour agrandir
Photo Khaos Tian. Cliquer pour agrandir

Fort heureusement, la faille a apparemment été corrigée avant qu'une personne malintentionnée ne l'exploite. Tout est bien qui finit bien en somme, mais la gestion du problème a laissé à désirer. C'est ce que raconte Khaos Tian, le développeur qui a découvert la faille. Le moins que l’on puisse dire, c’est que ce n’est pas glorieux pour Apple…

HomeKit, un majordome qui ouvre la porte à n’importe qui

Jusque-là, on ne savait pas exactement en quoi consistait cette faille de sécurité, si ce n’est qu’elle permettait à n’importe qui de contrôler un appareil HomeKit à distance, sans y avoir été autorisé préalablement. Sans dévoiler exactement ses secrets pour des raisons de sécurité, Khaos Tian explique un petit peu plus longuement comment la faille fonctionnait.

Rappelons que l’une des fonctions proposées par HomeKit est un accès distant aux appareils connectés chez vous, via un concentrateur qui est en général une Apple TV. Vous pouvez ainsi vérifier si vos lampes sont bien éteintes, gérer le chauffage, ou encore surveiller votre domicile depuis n’importe où en utilisant un appareil iOS associé à votre compte iCloud. Cette même fonction permet aussi d’inviter d’autres personnes à accéder au réseau domotique, de quoi permettre à toute la famille d’utiliser ces fonctions d’automatisation.

Depuis iOS 10, HomeKit peut être partagé avec d’autres utilisateurs. L’idée étant de permettre à tous les membres d’un foyer d’accéder aux appareils et de les contrôler. Cliquer pour agrandir
Depuis iOS 10, HomeKit peut être partagé avec d’autres utilisateurs. L’idée étant de permettre à tous les membres d’un foyer d’accéder aux appareils et de les contrôler. Cliquer pour agrandir

Pour permettre un échange sécurisé et distant, Apple a mis en place des serveurs de communication spécifiques à HomeKit qui fonctionnent sur le même modèle que ceux dédiés à iMessage. D’ailleurs, la communication entre les utilisateurs et les appareils, et entre les appareils eux-mêmes, se fait sous la forme de messages chiffrés.

Quand vous voulez accéder au statut d’une ampoule connectée, votre iPhone envoie un message au serveur HomeKit, qui le transmet ensuite à l’Apple TV placée chez vous. Si une réponse est attendue, elle transite de la même manière, via les serveurs d’Apple.

Avec un Apple TV chez vous, vous pouvez accéder aux équipements HomeKit depuis un appareil distant. De quoi, par exemple, ouvrir la porte à distance (image Apple). Cliquer pour agrandir
Avec un Apple TV chez vous, vous pouvez accéder aux équipements HomeKit depuis un appareil distant. De quoi, par exemple, ouvrir la porte à distance (image Apple). Cliquer pour agrandir

En théorie, HomeKit devrait vérifier que l’expéditeur du message est autorisé à accéder aux appareils du domicile et seulement agir ensuite. La faille commence ici : Apple avait oublié cette étape de vérification et le concentrateur HomeKit à votre domicile répondait à chaque message, sans vérifier son expéditeur. En soi, cette faille est déjà très gênante, mais elle ne suffit pas, puisqu’il y a une deuxième sécurité. Chaque appareil HomeKit est associé à un identifiant unique généré lors de l’installation et qui est trop complexe pour être deviné.

Toujours en théorie donc, même si HomeKit répond à chaque requête sans en vérifier l’origine, cela n’a aucune conséquence réelle, puisque l’identifiant unique des appareils connectés n’est pas connu. Sauf qu’il y avait deux failles de sécurité en une, et qu’un bug dans watchOS 4.0 et watchOS 4.1 permettait de connaître tous les identifiants associés à un domicile HomeKit, même sans autorisation.

C’est la combinaison de ces deux failles qui était fatale. Un malandrin pouvait envoyer un message à n’importe quel utilisateur HomeKit sans se faire rejeter, d’une part. D’autre part, en envoyant un message spécifique depuis une montre sous watchOS 4.0 ou 4.1, il pouvait obtenir la liste exhaustive des appareils HomeKit enregistrés. En combinant les deux, il pouvait alors gagner un accès total à la domotique de n’importe quel utilisateur.

Khaos Tian a créé un prototype pour exploiter sa faille. Ici, la liste des commandes qui pouvaient être envoyées sans aucune authentification préalable. Cliquer pour agrandir
Khaos Tian a créé un prototype pour exploiter sa faille. Ici, la liste des commandes qui pouvaient être envoyées sans aucune authentification préalable. Cliquer pour agrandir

Apple a réagi rapidement en corrigeant d’abord la faille de watchOS côté serveur. Le correctif était assez simple : seul le compte iCloud qui avait créé la configuration HomeKit pouvait envoyer des requêtes au serveur depuis une Apple Watch. Et avec watchOS 4.2, les sécurités ont été renforcées sur la montre pour restaurer l’ancien fonctionnement et permettre aux autres comptes iCloud autorisés d’utiliser HomeKit depuis la montre.

Par la suite, iOS 11.2.1 et tvOS 11.2.1 ont aussi complètement comblé la faille de sécurité en vérifiant que chaque message reçu de la part des serveurs HomeKit provient bien d’un utilisateur autorisé.

Apple n’a pris la faille sérieusement qu’au moment où elle a été publique

En apparence, Apple a bien géré la crise. 9to5Mac a révélé l’existence de la faille de sécurité le 3 décembre, en indiquant d’emblée que le constructeur avait été mis au courant et travaillait sur un correctif. La faille avait été alors comblée en deux temps, d’abord côté serveur et une semaine après côté clients, avec les sorties d’iOS 11.2.1 et tvOS 11.2.1. C’était une faille majeure, mais l’entreprise avait fait apparemment tout ce qu’il fallait pour la régler dans les plus brefs délais.

Malheureusement, on ne connaissait pas encore toute l’histoire et la réalité est moins positive pour Apple. Khaos Tian détaille précisément le calendrier avant l’article de 9to5Mac, bien avant même, puisqu’il a découvert la faille à la fin du mois d’octobre. Apple a été prévenue le 28 octobre et il a reçu une réponse deux jours plus tard, pour l’informer qu’une enquête allait être menée en vue de corriger la faille.

Le temps passe et le développeur n’a pas de nouvelles, malgré ses multiples relances par mail, notamment pour préciser les détails spécifiques de ses découvertes. Apple corrige une partie de la faille au milieu du mois de novembre, en modifiant ses serveurs afin de bloquer la possibilité d’obtenir la liste exhaustive des équipements HomeKit d’un utilisateur. Khaos Tian suppose que le correctif complet est en cours et qu’Apple ne souhaite simplement pas communiquer, ce qui est sa politique la plus courante.

Le problème, c’est qu’iOS 11.2 sorti début décembre doit corriger la partie client, mais fait en réalité plus de mal que de bien. Certes, elle corrige une partie de la faille, mais elle en introduit une autre encore plus grosse. N’importe qui peut alors obtenir les identifiants des appareils HomeKit de n’importe quel utilisateur en utilisant un iPhone ou iPad avec cette version. Sachant qu’il fallait une montre et une version précise de watchOS jusque-là, cette bourde supplémentaire est de fait une aggravation de la situation, pas une correction.

Puisqu’Apple ne répond plus à aucun de ses messages, Khaos Tian cherche d’autres voies pour communiquer avec le constructeur et signaler que non seulement sa faille originale n’est pas corrigée, mais que la situation a empiré. Après avoir effectué plusieurs stages d’été chez Apple, il connait encore quelqu’un qui peut alerter l’équipe en charge de HomeKit. On lui envoie finalement un mail… pour indiquer qu’une nouvelle enquête va être ouverte pour déterminer ce qu’il faut faire.

L’article publié sur 9To5Mac. Cliquer pour agrandir
L’article publié sur 9To5Mac. Cliquer pour agrandir

À ce stade, la faille avait été révélée depuis plus d’un mois et la situation était encore pire qu’au départ. Pis, le constructeur ne semblait pas s’en alarmer et préférait apparemment prendre son temps pour combler la faille. Khaos Tian aurait pu dévoiler publiquement la faille pour accélérer le processus, mais il a choisi de contacter un ami qui travaille chez 9to5Mac pour lui présenter le problème.

La suite est connue. La promesse d’une publication de la faille sur un site connu comme 9to5Mac a motivé suffisamment le constructeur. Le travail avait commencé quand l’article a été publié et une semaine plus tard, la faille HomeKit était totalement comblée.

Un vrai problème de gestion des failles à Cupertino

Ce n’est pas la première fois que la gestion des failles de sécurité chez Apple est critiquée. Pendant longtemps, le constructeur n’avait aucun programme pour inciter les chercheurs à lui rapporter les failles découvertes. C’est le cas depuis l’été 2016, mais les sommes promises par l’entreprise restent ridicules comparées à celles effectivement payées par des tiers pour des failles encore inconnues, notamment sur iOS. Elles sont si ridicules qu’elles ne suffisent souvent même pas à rentabiliser le travail des chercheurs en sécurité si bien que ce programme est, dans l’ensemble, un flop.

Liste des sommes promises par Apple lors du lancement de son programme de récompenses pour des failles. On ne sait pas si cette liste a été mise à jour depuis. Cliquer pour agrandir
Liste des sommes promises par Apple lors du lancement de son programme de récompenses pour des failles. On ne sait pas si cette liste a été mise à jour depuis. Cliquer pour agrandir

Même sans parler d’argent, la gestion des failles laisse souvent à désirer. Il existe une adresse mail indiquée sur cette fiche technique pour informer Apple de l’existence d’une nouvelle faille. Le problème, c’est que l’entreprise ne prend pas toujours la peine de répondre rapidement et/ou correctement. Le cas de la faille HomeKit est intéressant à cet égard : ce développeur fait ce qu’il faut, envoie les informations de la manière attendue et tout ce qu’il reçoit comme réponse est un mail standard et une correction un mois après qui empire encore la situation.

Face à ces silences, les dénicheurs de failles sont nombreux à perdre patience. Certains pourraient tenter de vendre leur découverte, d’autres choisissent, comme Khaos Tian, de la rendre aussi visible que possible pour forcer Apple à agir. La faille root de macOS avait suivi le même chemin : il a fallu un tweet largement partagé pour qu’Apple corrige ce problème évoqué plusieurs semaines auparavant sur ses propres forums.

Le développeur qui avait publié l’information sur Twitter avait été critiqué par une partie de ses pairs pour le choix du réseau social plutôt que la voie traditionnelle, par mail. Mais en même temps, la faille était si énorme que cette publication a forcé Apple à réagir extrêmement rapidement. S’il avait envoyé le mail, peut-être qu’il aurait fallu attendre plusieurs semaines avant d’avoir le correctif. Une perspective guère réjouissante quand on pense que ce bug traînait depuis longtemps et pouvait être utilisé à distance…

Utiliser le compte « root » et un mot de passe vide, assurément ça ne donnait rien… sauf que, si.
Utiliser le compte « root » et un mot de passe vide, assurément ça ne donnait rien… sauf que, si.

La perfection n’est pas de ce monde, en tout cas pas en informatique et personne ne peut attendre d’Apple la perfection absolue. Il y aura toujours des failles et il faudra toujours les corriger. Là où le constructeur n’est pas à la hauteur, c’est dans la gestion de ces failles. Et ce n’est pas nouveau : en 2015, nous avions interrogé deux spécialistes du domaine et pour eux, le constat était sans appel : « Apple n'a pas une culture de la sécurité adéquate ». Manifestement, la situation n’a toujours pas évolué.

Apple devrait tout faire pour que ceux qui découvrent des failles l'informent en premier, et pas un tiers souvent malveillant. Pour cela, il faudrait peut-être des incitations financières plus généreuses. Il faudrait sûrement que les failles remontées soient prises en charge sérieusement et qu’un vrai suivi soit proposé aux auteurs, pour les rassurer sur cette prise en charge.

Naturellement, ce n’est pas tout à fait aussi simple : il faut traiter toutes les informations reçues, séparer le grain de l’ivraie, juger la validité et ensuite la dangerosité réelle de chaque faille exposée. C’est un sacré travail, c’est vrai, mais Apple a tous les moyens imaginables à sa disposition pour mettre en place une équipe dédiée à cette tâche. Ou alors, pour proposer systématiquement à tous ceux qui remontent de vraies failles de venir travailler à Cupertino et être payés pour continuer ce travail.

Ce ne sont pas les options qui manquent. Espérons maintenant qu’Apple saura utiliser sa « mauvaise semaine », comme l’a pudiquement qualifiée Phil Schiller pour améliorer sa gestion des failles de sécurité.

avatar arowbase | 

« Naturellement, ce n’est pas tout à fait aussi simple : il faut traiter toutes les informations reçues, séparer le grain de l’ivraie, juger la validité et ensuite la dangerosité réelle de chaque faille exposée. C’est un sacré travail, c’est vrai, mais Apple a tous les moyens imaginables à sa disposition pour mettre en place une équipe dédiée à cette tâche. Ou alors, pour proposer systématiquement à tous ceux qui remontent de vraies failles de venir travailler à Cupertino et être payé pour continuer ce travail. »

« Le trésor de guerre d'Apple s'enrichit de 3,6 millions de dollars par heure »

Juste un mot, un seul : BORDEL.

avatar frankm | 

Mise à jour à la maison : barillet blindé Bricard

avatar CorbeilleNews | 

@frankm

Sur tous les ouvrants et verre triple vitrage a film et ... ... 😃😉

avatar frankm | 

@CorbeilleNews

Tous les ouvrants

avatar Byakko | 

Et les AppleTv 3 qui servaient de concentrateur HomeKit ? Elles vont avoir droit à leur mise à jour aussi ? Parce pour l'instant les ponts sont toujours coupés

avatar DeluxePainter | 

Il y a du ridicule chez Apple. Ça n’est vraiment pas sérieux.

avatar oomu | 

moui, d'un autre autre côté Apple ne communiquant pas , on ne sait rien de leur planning et de la complexité réelle de la correction.

Bref, mieux vaut ne pas se compliquer la vie avec de la domotique et serveurs tiers et tout le tralala.

avatar Le Gognol | 

J’avais compris que pour exploiter cette faille, il fallait être connecter au compte iCloud de l’utilisateur :

https://www.igen.fr/ios/2017/12/apple-soccupe-dune-grosse-faille-de-secu...

Finalement ce n’était pas le cas ?

avatar marc_os | 

« le constructeur ne semblait pas s’en alarmer et préférait apparemment prendre son temps pour combler la faille »
Faites ce que je dis, mais pas ce que je fais: Cf. macg, igen, et watchgeneration trois sites en apparence identiques, mais qui sont en réalité trois sites différents avec des comportements différents quant à la rédaction des commentaires. Développement par copier / coller ? Même pas, sinon on aurait les mêmes possibilités.

Ceci dit, après que ce développeur ait fait comprendre à Apple qu'ils avaient merdé dans leur correction trop rapide, je pense qu'Apple a au contraire bien fait de « prendre son temps » afin de délivrer enfin une correction fiable !

avatar Pat4e5 | 

@marc_os

Heu.. mais c'est quoi ton problème ?

avatar marc_os | 

@Pat4e5 :
Mon problème ?
Les donneurs de leçons qui montent les problèmes corrigés n'ayant touché personne en épingle et qui feraient bien de commencer par balayer devant leur propre porte (cf. aussi pub qui fait planter leur App).

avatar macinoe | 

c’est bien.
Je vois que tu parviens très bien à hierarchiser les risques...

Sans rire... Bon, joyeux Noël quand même

avatar marc_os | 

@macinoe :
Combien de personnes ont-elles été touchées par la faille ?
Crier au loup à tort et à travers n'a jamais été une bonne stratégie de sécurité.
Mais là n'était pas l'objet de ma réponse. La tienne est donc hors sujet par rapport à ce que j'ai écrit - cf. ce que je viens d'y mettre en gras et en italique. (Je précise, car visiblement il faut mettre les points sur les "i" pour avoir une infime chance d'être compris ici).

avatar 8enoit | 

@marc_os :
« Combien de personnes ont-elles été touchées par la faille? »

En sécurité, ce genre de critère n’est absolument pas valable. Il s’agit de gestion des risques, pas de réparation de dommage.

Si vous étiez pilote d’avion, jamais je ne monterais à bord d’un engin que vous conduisez.
Si vous étiez moniteur de ski, jamais je ne vous confierais mes enfants.
Car au fond vous proposez d'attendre qu'il y aie des victimes pour s'alerter. C'est typiquement l'inverse de ce qu'on appelle le sens des responsabilités.

Bref, un peu d’humilité ne vous ferait pas de tort.

avatar macinoe | 

Oui, le même raisonnement qui amenait à dire que le concorde était l’avion le plus sûr au monde... jusqu’à l’accident de gonesse où il’est devenu un des pires.

L’absence de cas avéré n’a aucun rapport avec le risque encouru.

C’était bien plus risqué de voyager en concorde qu’en a320. même s’il n’y avait eu aucun accident grave.

avatar marc_os | 

@macinoe :
Comparaison n'est pas raison !

avatar macinoe | 

Si tu avais la capacité de comprendre des notions de bases, il n’y aurait pas besoin d’avoir recours à des exemples.
Mais je me moque. Je sais très bien que tu n’es pas idiot et que tu comprends parfaitement.

Tu es juste un fanatique. Qui par définition fait passer sa cause avant toute forme de raison.

Et si au passage, tu pouvais éviter d’avoir recours à des dictons idiots qui permetent de légitimer n’importe quoi genre « il n’y a pas du fumée sans feu » ou comme dans ton cas « comparaison n’est pas raison ».. ( la vache ça c’est craiment le marqueur du niveau zero de la pensée ), on pourrait commencer à dialoguer entre grande personnes douées de raison.

avatar marc_os | 

@macinoe
Si on était à l'école et qu'on était noté, tu aurais eu pas loin de 0/20 car ta réponse à mon commentaire était HORS SUJET. Je dis bien par rapport à mon commentaire auquel tu répondais. Je te le signale et tu insistes, je me demande donc qui est le plus fanatique des deux.
Ceci dit, as-tu déjà entendu l'expression "avocat du diable" ? Et si oui sais-tu ce que cela veut dire ? Si oui, peut-être comprendras-tu alors ma position face aux meutes qui pratiquent l'Apple bashing à outrance.

avatar macinoe | 

Je n’ai ni le temps ni l’envie de m’embrouiller en cette période de fête, mais franchement mec, un minimum d’introspection te ferait le plus grand bien.
T’es complètement à la ramasse mon pauvre. Et je ne dis pas ça pour être cruel, mais vraiment pour te donner une clef pour t’en sortir.

avatar marc_os | 

@ macinoe
Les insultes sont rarement une marque d'intelligence, "mec".
Ou alors tu ne sais pas ce que veut dire "hors sujet"...

avatar Soner | 

@8enoit

Tout à fait d’accord. C’est comme les programmes de rappel en automobile, non c’est vrai généralement personne n’a fini sa course dans un mur, mais à l’instant T ou un problème potentiel est découvert il faut agir et vite.

avatar occam | 

Pour paraphraser le regretté Jean d'Ormesson, c'est le genre d'affaire qui fait chier.

Personne ne s'attend à ce qu'Apple soit parfait, loin s'en faut. Mais quand on a eu à faire depuis quelques lustres à ce fleuron de l'industrie, on reconnaît là une tendance viscérale au "deep-six", à enfouir aussi profondément que possible, dans les arcanes de la bureaucratie pommière, ce qui fâche et qui fait tâche. C'est tout le contraire de la culture "open".

Quand on dit qu'Apple "n'a pas une culture de la sécurité adéquate", et tenant compte de l'environnement où Apple évolue et des fondements de ses OS, on dit en vérité qu'Apple n'a pas une culture informatique adéquate.

Or c'est ce que les détracteurs d'Apple clament, depuis des années. Il est rageant, il est chiant de voir comment Apple, malgré les efforts de ses meilleurs éléments, s'évertue à donner raison à ses détracteurs.

avatar elbibou | 

Trop gourmand Apple en voulant aller trop vite

avatar pagaupa | 

@occam

Bien vu! Et cela dégoûte même certains de leurs clients dont je fais parti à la fois en professionnel mais aussi à tître individuel.
La suffisance d'Apple la tuera...

avatar debione | 

Tiens, on pourrait ouvrir un nouveau concours( ou sondages de macg):

Le prochain produit Apple a sortir sera le homepod. Combien de temps avant l'apparition d'une faille dans son os? Ou alors de quelle nature sera la faille?

avatar Crkm | 

Ah. Peut-être que les gens vont enfin commencer, doucement, à comprendre que ce qui dirige Apple, c’est ni plus ni moins que l’incarnation même de l’Incompétence, et que, le meilleur moyen de se protéger des failles de sécurité, c’est de prendre son maillet et de simplement fracasser chaque appareil Apple en sa possession, et d’acheter d’autres marques. Certes, il y aura toujours quelques irréductibles, quelques fanatiques qui défendront Apple comme si leur vie en dépendait. Mais je suis certain que la majorité raisonnable va réaliser cette année. Accrochez-vous, la descente de l’action Apple va être très, très prononcée.

avatar 8enoit | 

@Crkm :
Propos excessifs. Insignifiants.
Ce qui n’enlève rien au fait qu’il faille être prudent dans ces domaines, connaissant la vulnérabilité des systèmes informatiques.

avatar webHAL1 | 

MacG a écrit :
« Et ce n’est pas nouveau : en 2015, nous avions interrogé deux spécialistes du domaine et pour eux, le constat était sans appel : « Apple n'a pas une culture de la sécurité adéquate ». Manifestement, la situation n’a toujours pas évolué. »

Et il n'y a aucune raison qu'elle évolue prochainement. Tant que ces aspects de sécurité n'ont pas un impact sur les ventes de la Pomme, celle-ci continuera à investir le minimum possible dans ce domaine, tout en mettant en avant un message marketing de type "c'est notre toute première priorité !". Si Microsoft a pris à bras le corps le problème de la sécurité ces dernières années, c'est suite aux nombreux problèmes apparus avec les versions de Windows antérieures à Vista. Ils commençaient à menacer l'édifice, donc la firme de Redmont a dû agir. Je suis persuadé que ça sera pareil avec Apple.

Cordialement,

HAL1

avatar IPICH | 

Apple ne communique pas, les failles s'accumulent(coucou high sierra), un iPhone x au prix exorbitant, et iOS 11 qui fait des siennes.

Apple, ressaisis-toi!

CONNEXION UTILISATEUR