FaceTime : un bug permet d'espionner son correspondant, Apple désactive Group FaceTime
Oups : les appels vidéo de FaceTime présentent une grosse faille de sécurité qui permet d’écouter aux portes. Depuis au moins iOS 12.1, une manipulation toute simple offre en effet à l’utilisateur la possibilité d’entendre ce qui se passe chez son correspondant sans même qu’il décroche… Voilà qui fait tache pour Apple, qui a le respect de la vie privée chevillée au corps, comme le constructeur en avait fait la promotion durant le dernier CES. Ce panneau publicitaire vantant la confidentialité des données a mal vieilli...
Now you can answer for yourself on FaceTime even if they don’t answer🤒#Apple explain this.. pic.twitter.com/gr8llRKZxJ
— Benji Mobb™ (@BmManski) January 28, 2019
Le principe est simple :
- Lancez un appel vidéo en FaceTime ;
- relevez le panneau des options ;
- ajoutez-vous à la conversation (ce qu'il est possible de faire depuis les appels de groupe FaceTime) ;
- … et écoutez ce qui se passe chez le correspondant.
Dit autrement, si quelqu’un tente de vous joindre dans un appel vidéo FaceTime, il peut écouter ce que vous dites sans que vous ayez décroché.
Ce bug, que nous avons pu reproduire à plusieurs reprises, n’a pas été corrigé avec la première bêta d’iOS 12.2. Il est probable, au vu de sa médiatisation, qu’Apple livre assez rapidement une mise à jour intermédiaire pour boucher le trou, à moins que la vulnérabilité puisse être corrigée côté serveurs. En attendant, il n’y a pas vraiment de remède, si ce n’est de basculer en mode Ne pas déranger, ou désactiver FaceTime… ou tenir sa langue avant de prendre l'appel.
Mise à jour — On apprend que si le correspondant appuie sur le bouton de volume ou d'allumage (sans répondre à l’appel), il envoie aussi le flux vidéo à son insu !
Apple a rapidement réagi en déclarant aux sites US que l’entreprise était au courant du bug, que ce dernier avait été identifié et qu’un correctif sera livré dans une prochaine mise à jour qui sera disponible « plus tard cette semaine ». Le plus vite sera le mieux.
Dans l'attente d'un correctif côté client, Apple a désactivé côté serveur la fonction de groupe pour FaceTime.
Un utilisateur sur Twitter clame, captures d'écran à l'appui et rappels de ses précédents tweets, avoir prévenu Apple ainsi que Fox News il y a une semaine de l'existence de ce bug, qu'il décrivait sommairement. Personne n'est revenu vers lui, dit-il.
@webHAL1
« Mmhhh, non. Je crois que ce que Bigdidou décrit c'est des tests en utilisation réelle, mais par une population réduite »
C’est ça.
« Ici, la faille a été découverte lorsque le produit était finalisé »
Eh oui. Un peu tard...
« « À noter quand même que rien ne dit qu'une phase de beta test par une population de testeurs aurait permis de découvrir ce (très gênant) dysfonctionnement. » »
Oui, mais d’autant moins qu’on ne fait pas cette phase de bêta test.
@Bigdidou
« Oui, mais d’autant moins qu’on ne fait pas cette phase de bêta test. »
Oh j’imagine qu’il y en a quand même eu une (le protocole est immuable dans le développement logiciel), mais à une échelle ou avec des indicateurs qui ne permettaient pas d’identifier cette faille.
@iVador
"Il n’y a aucune règle, c’est ainsi."
Ouf ! Si le bug est dû à la fatalité, je ne vois pas ce qu'Apple aurait pu changer pour le détecter ou le régler avant la mise en production !
J'ai cru un instant que leur process de test était perfectible...
@Bigdidou
« Si un robot chirurgical se met à découper ta grand mère en tranches fines façon salami, tu admettras ce genre de réponse ? »
Restons dans la mesure...
@Malvik2
Bon, d’abord quand on en est à insulter son boss, il est temps de changer de boulot ;-).
Et oui, ce n’est pas bien. Ce n’est pas grave non plus. Objectivement, le temps d’écoute est très court. Il ne devrait pas exister et je ne suis pas inquiet Apple va vite régler le problème. À date, l’exploitation reste très limitée.
Mais est-ce le drame qu’on nous vend ? La faille ultime ? Celle qui renie la sécurité (comme il est écrit dans l’article en parlant de la pub).
Un bug voyons, pas une faille.
https://www.macrumors.com/2019/01/28/apple-disables-group-facetime-due-to-bug/
Sans que l’autre décroche ?
sans que l'autre décroche.
En fait, c’est FaceTime qui décroche à ta place.
C’est un bug de l’app qui n’a pas a voir avec le protocole.
Je ne suis pas encore passé au 12. Plus je désactive FaceTime dans les paramètres tant que je n'ai pas besoin. ?
La réactivité d’Appl€ laisse songeur. Rien à voir avec MS.
La honte.
quel est le soucis avec la réactivité d'Apple ?
Tu devrais t'appeler "en croisade". Sur windows pas besoin de Facetime pour espionner les gens...
@en ballade
"La réactivité d’Appl€ laisse songeur. Rien à voir avec MS."
La 2eme phrase est certainement ironique ?
@en ballade
Pour un peu de perspective à propos de Microsoft, cette beauté :
https://dirkjanm.io/abusing-exchange-one-api-call-away-from-domain-admin/
Aucun patch jusqu’à l’heure, Exchange toujours vulnérable. Et ce n’est pas nouveau : CVE-2018-8581 toujours valable, toujours pas de remède :
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8581
Quand je dis que toutes les fois qu’Apple se met le doigt dans l’oeil, Microsoft y enfonce son bras jusqu’au coude, pour ne pas être en reste...
C’est assez marrant... Donc grosso merdo, ce que l’on voit de la sécurité d’Apple c’est qu’ils sont capables d’ouvrir les micros et les caméras depuis les serveurs... Que les micros et la caméra peuvent se mettre en marche sans que le possesseur n’en soit aucunement averti...
Ça ressemble méchamment à une backdoor mal camouflé ...
Je ne sais pas , mais c'est clair que l'on est pas du tout dans une conception qui mets la priorité sur sécurité des utilisateurs.
Contrairement à ce qu'affirme bien fort la com d'Apple
@debione
C’est le système de mise en relation entre 2 (voir x) iPhone qui a été désactivé . L’appli reste autonome.
@evangelion-007
Ce n’est pas là dessus que je mets l’accent, mais sur le fait que le micro de l’iphone Ou la camerA peuvent se mettre en branle sans qu’il n’y aie aucune action de l’utilisateur. FaceTime n’est qu’une façon de procéder pour y arriver.
Ma question est: est-ce qu’apple Va juste sortir un correctif pour FaceTime, ou est ce qu’ils vont revoir en profondeur l’os pour qu’il n’y aie aucune possibilité de mise en marche à distance des micros et caméras? Ou tout du moins avoir un avertissement clair sur l’iphone Quand cela commence à filmer et à enregistrer?
Le code au sein de l'appareil, permettant d'activer le micro et envoyer des données, existe. Il peut donc potentiellement être abusé.
Mais oui, il reste choquant qu'il soit possible d'initier tout cela sans une intervention directe et explicite de l'utilisateur (passer par l'écran, en gros).
Mais le logiciel n'est que du logiciel : prêt à fournir la fonctionnalité, si on trouve un moyen détourné et non prévu de l'activer, il fera son travail, sans aucune conscience.
-
Pas de logiciel, pas de bug. Supprimons le logiciel ! :)
@oomu
"Pas de logiciel, pas de bug. Supprimons le logiciel ! :)"
Tiens, pas con ça !
Dans un autre domaine, il y en a qui appliquent ce principe : ça s'appelle l'abstinence :-)
Google en a rêvé, Apple l’a fait ;)
Décidément toujours une longueur d’avance.
PS : merci faceid qui me refait saisir mon code bien plus souvent que touchID.
@Ducletho
Et en même temps, quelle idée d'avoir fait offrande d'un rein à Tim en échange d'un iPhone à encoche !
??♂️ ??♂️ ??♂️
Faut pas acheter les produits Apple post 2015-2016 (Macbook R, Macbook Pro, iPad, iPhone...) tant ils sont bourrés de défauts de conception et tant ils s'éloignent de plus en plus de la simplicité Apple ...
@taxtax
Mon fils avait besoin de changer son tél, je lui ai donné mon 7, et le merveilleux faceid, il aime pas déjà le déverrouillage quand il est sur support voiture, et il aime pas être trop loin. Les lunettes, avec il ne me reconnaît pas toujours également
@Ducletho
Testé un iX pendant plus d'un mois: jamais convaincu par Face ID (moins souple que Touch ID comme déjà évoqué 1000 fois dans les commentaires qui comparaient les 2 technos) et cette encoche impossible à faire oublier en mode paysage (visionnage de photos/ videos plein écran, utilisation du GPS, jeux...).
Repris un 7 plus pour son grand écran -encore à la pointe- 16/9 sans encoche, sa meilleure autonomie et sa robustesse par rapport au dos en verre des 8 et X (et le bras que ça coute de les faire réparer).
Et pour 50% du prix du X !!!
Un 7 avec FaceID ? Vous avez bidouillé votre tel ou quoi ?
@Ducletho
"PS : merci faceid qui me refait saisir mon code bien plus souvent que touchID."
Ça doit être à force de tirer la langue à chaque déblocage ?
@fifounet
Ça doit être ça !
“Ce panneau publicitaire vantant la confidentialité des données a mal vieilli...”
De là à remettre en cause l’entièreté de la politique de confidentialité chez Apple pour un unique bug qui a été immédiatement traité, je vous trouve un peu dur !
@clementgonzalvez
« What happens on your iPhone… now broadcast worldwide. »
Non. Quand on vante la confidentialité comme caractéristique distinctive pour attirer le chaland, et qu’on se fourre le doigt dans l’oeil jusqu’à l’hippocampe, faut encaisser et assumer.
On rigole des Samsung Galaxy qui envoient des SMS à l'insu de son plein gré, Alexa qui déballe tout aux contacts enregistrés mais là Apple, merci de rétablir un peu d'équité dans la "fiabilité" des services.
je rigole po :(
Désactivé aussitôt pour ma part !
D’après les articles sur le sujet, il s’agit plutôt qu’on peut entendre quelqu’un que l’on appelle juste avant qu’il ne décroche. Pas comme si on pouvait espionner n’importe qui de son carnet d’adresse. C’est grave, mais pas besoin d’être aussi sensationnaliste MacG!
https://www.businessinsider.com/apple-facetime-privacy-vulnerability-lets-another-user-listen-in-2019-1
Sacré bug et surtout à la portée de tous pour une fois lol Ça va vite être réglé
Et hop !
Il va encore falloir mettre à jour le système d'exploitation complet après un téléchargement de 1 Go (uniquement en Wi-Fi, attention – bon courage à tous ceux qui profitent des joies de l'ADSL) et 10 minutes d'installation pour se débarrasser d'un bug sur une unique application Apple.
Et ensuite, Apple prétend vouloir sauver la planète...
Ce serait un peu plus simple pour tout le monde que Facetime soit mis à jour via l'App Store. Ce n'est pas comme si Apple refusait systématiquement de copier ses concurrents.
@sachouba
« Il va encore falloir mettre à jour le système d'exploitation complet après un téléchargement de 1 Go »
C’est pas bien de raconter des conneries
Mais c’est pas comme si on avait l’habitude ?
@fifounet : +1
Je suis surpris de n'avoir pas encore lu Pataugas et ses gros sabots...
Je ne comprends pas : je suis le seul à trouver Face ID bien ? J’ai du mal avec l’encoche, mais à part ce sujet de design, le déverrouillage fonctionne encore mieux que Touch ID (qui était déjà très bon) pour moi !
@gboscher
Non tu n'es pas le seul. Mais on entend plus souvent ceux qui ralent que les autres ?
@phil3
On va pas reprocher aux gens de s’exprimer n’est ce qu’il pas? Alors ton commentaire serait plus approprié s’il reprochait à certains de ne pas s’exprimer ?
@Ducletho
A quand des tirs de balle molles virtuelles pour empêcher « les râleurs » de râler dans les commentaires d’une news dédiée à la divinité pommée ?
Ah la la, les fanboys... ?
@taxtax
Je sens que je vais pas tarder à me prendre une grenade de desencerclement ;)
@Ducletho
Au moins les chevaliers de l'ordre et la morale pommesque vous font la fleur de la 1ere sommation avant de dégommer votre post ! x_x
@taxtax
"d’une news dédiée à la divinité pommée ?
Ah la la, les fanboys... ?"
Âge mental 15 ans
Merci
Suivaaaaaant !
@gboscher
Dis simplement que ça marche chez toi et arrête de faire ouin ouin je suis seul au monde
@Ducletho
Si je comprends bien, on a le droit de dire que ça ne marche pas mais on n'a pas le droit de dire que ça marche ?
@zoubi2
"Si je comprends bien, on a le droit de dire que ça ne marche pas mais on n'a pas le droit de dire que ça marche ?"
Oui ça a toujours été la tendance ?
Pages