Faille FaceTime : la justice new-yorkaise sur les talons d’Apple
En attendant le correctif annoncé pour cette semaine, les ennuis s’accumulent pour Apple qui a laissé traîner une vilaine faille de sécurité dans la fonction de conversation de groupe FaceTime. Une première plainte a été déposée contre le constructeur, et désormais ce sont le bureau du gouverneur de New York, Andrew Cuomo, ainsi que la procureure générale de l’État américain, Letitia James, qui ont lancé une enquête commune sur ce bug.
Il s’agit de déterminer pourquoi Apple a mis tant de temps pour avertir les utilisateurs de cette faille. Le constructeur avait été mis au courant fin janvier et de ce qu’on en comprend, il n’a pas été particulièrement proactif pour combler une faille qui permet d’écouter en douce son correspondant avant qu’il décroche l’appel (lire : FaceTime en groupe : la petite histoire derrière le gros bug de communication).
La procureure générale a indiqué que cette faille de FaceTime représentait une « menace sérieuse à la sécurité et pour la vie privée de millions de New-Yorkais qui ont mis toute leur confiance dans Apple et ses produits toutes ces années ». La Pomme a temporairement bloqué la fonction d’appels de groupe FaceTime.
Qu’elle s’occupe aussi de Google et Facebook
Entièrement d'accord
@bbibas
Mais les utilisateurs de Facebook ont coché la case “J’accepte d’être enc... profond de mon plein gré et de partager les photos de ma famille et de mes enfants afin de vous servir mon humble maître.”
Donc ils peuvent rien dire.
@bbibas
Pour l’instant la faille est chez Apple...
@pagaupa
Euh car tu penses que tous les autres OS ou logiciels n’ont aucunes failles ?
Apple étant plus médiatique, donc plus intéressant en terme de visibilité pour les médias (print et web)
Apple, mise au courant de la faille fin Janvier, a traîner pour réagir ? Heu .. fin Janvier c’est maintenant, non ?
@IceWizard
Ils vivent dans un monde parallèle
@IceWizard
Ils sont fracassés. Leur président voit un -50° il demande où est le réchauffement climatique.
@frankm
Mais c'est une excellente question! Je veux bien croire tous les météorologues du monde, mais cette idée du réchauffement climatique (j'y crois quand même par confiance en les spécialistes) ne correspond pas à l'expérience vécue de bien des gens. Dans mon coin de Quebec on a jamais autant gelé, mais ça c'est un peu réchauffé: on est passé ces jours-ci
de -39 à -28... Ce décalage persistant vision scientifique/expérience vécue pose un problème.
Bon, je sais tout ça n'a pas rapport... excusez-moi!
@Chanteloux
Ça tient peut être simplement à la différence qu’il y a entre un climat et un bulletin météorologique, non ?
@IceWizard
Oui c sûr, je ne comprends pas trop l’empressement ! Ne remettant pas en doute le fait que le bug peut provoquer un sacré bordel, surtout dans le monde d’affaires
@Clément34000
Surtout que tu sais qui t’appelle en FaceTime donc c’est pas vraiment fait pour espionner.
Tu sais qui t'appelle quand c'est un de tes correspondants habituels! Sinon tu vois juste un numéro d'appel ou un e-mail qui ne te disent absolument pas qui est l'appelant. Donc tu laisses sonner (permettant 1 minute d'écoute à ton insu)
Et Alexa qui envoie des conversations privés, là il n’y a pas de d’action en justice ?
@reborn
J’imagine que la différence entre le bogue Alexa, qui a touché une personne, est que la faille FaceTime pouvait affecter tous les utilisateurs.
@reborn
Ian Bogost vient d’écrire une pièce assez réfléchie sur ce sujet dans The Atlantic :
https://www.theatlantic.com/technology/archive/2019/01/apple-facetime-bug-you-cant-escape/581554/
Il y considère aussi des conséquences à plus long terme, qui pourraient s’avérer paradoxales.
Mais il importe de sortir de la bulle Apple-centrique, de se garder de tout whataboutisme genre « Et Alexa ? », et de bien saisir l’ampleur de l’affaire.
L’écho médiatique est immense, et après la première déferlante de « Schadenfreude » à l’encontre d’Apple et de la langue de bois de Tim Cook, on lit de plus en plus souvent une question fort simple, et qui résonne auprès du grand public : s’il ne s’agit « que » d’un bug, banal d’apparence, à quoi d’autre s’expose-t-on en permanence, sans le savoir, avec la possible connivence des fabricants, des fournisseurs, des prestataires, des réseaux ? Quelle est la partie immergée de l’iceberg ?
@reborn
Bien vu!
Surprenant que d’aussi grosses nouveautés ne soient pas mieux testées en amont ...
@yocoman31
Je pense que la logique est mauvaise. J’ai une equipe qui fait aussi des devs pour de l’embarquer o combien plus sensible. Ce que je leur demande et de blinder les fonctions critiques avec des tests de cohérences dès leurs entrées: si l’etat du système n’est pas consistant quand ils rentrent dans la fonction, ils partent directement en mode safe.
On ne peut pas blinder les sytèmes complexes avec le sytème lui-même en espérant pourvoir faire toutes les combinaisons possibles lors des tests.
Je ne leur demande pas de perdre du temps à essayer de me démontrer pourquoi on ne peut pas appeler une fonction critique dans un cas non prévu car ‘les couches au-dessus’ veillent, mais de partir du principe qu’il y aura une faille et qu’ils doivent être parer à cela.
@0MiguelAnge0
Logique trop peu apprise et appliquée à mon goût.
Je me souviens de mon cursus universitaire, un seul de nos profs fonctionnait de cette manière et nous y forçait par la même occasion.
@0MiguelAnge0
Je suis plutôt d’accord. Il n’y a qu’à voir comment ils apprennent aux jeunes à coder dans Playgrounds : bidouille un truc qui marche dans un ou deux cas, puis bidouille le pour d’autres cas, puis regarde ce que ça fait dans tels cas et bidouille encore. Si le hasard ne t’as pas permis de programmer un truc utile, jette et recommence. Ce n’est pas du tout une méthode qui prends en compte la sécurité. Si les gars travaillaient comme ça en mécanique ils passeraient leur vie entre des poubelles pleine.
Si vider les corbeilles informatiques avait un coût perceptible, on ferait beaucoup plus attention.
De plus en mécanique il faut faire de la maintenance parce que les choses s’usent. Si les programmes étaient développés correctement on ne pourrait pas en faire payer la maintenance alors pourquoi se priver de travailler comme des sagouins ?
@0MiguelAnge0
Mon mentor dans ce domaine m’avait surpris au bout d’un mois de collaboration. On déjeunait dans un restaurant et, d’un coup, il me pose une question : « regarde par cette voiture par la fenêtre. De quelle couleur est la voiture sur le parking ? »
« Ben, elle est rouge »
Réponse: « non. Tu perçois le rouge avec tes possibles défaillances visuelles et au travers d’une vitre dont tu ne connais pas les impacts sur la réfraction »
L’homme n’est pas parfait et, partant, ce qu’il s’évertue à créer ne sera pas parfait.
@yocoman31
Tu as raison. D’ailleurs tant qu’un développement n’est pas testé sur le terrain, on ne peut être certain de rien.
«il n’a pas été particulièrement proactif»
Pas "proactif» mais "réactif”
@BLM
« «il n’a pas été particulièrement proactif»
Pas "proactif» mais "réactif” »
Oui, c’est pas clair, ce qui est reproché.
Parce que la réactivité est là.
Fin janvier, c’est maintenant, faut pas pousser.
Et si on judiciarise cette faille, va falloir ouvrir un département entier, parce que il y en a plein d’autres qui méritent alors le même traitement, passées, présentes, à venir...
@Bigdidou
Bof à ce que j’ai vu la miss avec son fils qui a découvert le bug a envoyé des mails à Apple le 21 janvier, bref, pour certains une semaine c’est beaucoup...
Moi je me dis Apple enregistre le prétendu bug dans leur système et des types au support prennent les tickets un après les autres et vérifient que c’est bien un bug.
S’il suffirait qu’un utilisateur lambda (style samsoule) envoie un mail avec : hey Apple y a un bug dans Apple Pay, ou dans iMessage.
Paf paf crack 10 secs après Apple verrouille la fonctionnalité...
Je peux te dire que ça geulerait plus que maintenant.
@33man
Complètement d’accord, pour le coup.
@33man
+1000
@Bigdidou
"Et si on judiciarise cette faille, va falloir ouvrir un département entier"
Ce n’est pas ainsi que le monde tourne, ce n’est pas ainsi que la justice US fonctionne.
Il faut saisir la dimension politico-médiatique de l’affaire, et le capital que des procureurs new-yorkais — soumis, rappelons-le, à des élections très politisées — pourraient en tirer. Et quand on est au manettes d’une entreprise comme Apple, il faut agir et réagir sur le réel.
J’avais signalé sur un autre fil deux failles dans Microsoft Exchange, potentiellement dévastatrices, l’une connue et reconnue depuis des mois, restée sans remède. Pour une entreprise, l’exploitation de ces failles serait bien plus dangereuse que le bug FaceTime. Et justiciable en conséquence. Or l’écho médiatique y est minime. À matraquer la confidentialité, on périt en paraissant la trahir ; à vivre sous les projecteurs, on meurt sous les projecteurs.
Le confrère allemand de MacG, MacTechNews, titrait à la une ce matin : « Le bug FaceTime prend l’ampleur d’un désastre. » Et de conclure : « La communication d’Apple — encore et toujours. Apple a pris l’habitude déplorable de ne réagir que lorsque la pression publique devient trop grande, ou sous la menace de conséquences judiciaires. »
Plus que la faille, c’est la gestion de la communication au sujet de la faille qui est en cause. Et comme elle est défaillante à répétition, elle constitue une faille en soi.
@occam
« Plus que la faille, c’est la gestion de la communication au sujet de la faille qui est en cause. Et comme elle est défaillante à répétition, elle constitue une faille en soi. »
OK, ce que tu me dis, c’est que c’est plus la communication autour de la faille que la faille elle-même qui donne matière à action en justice.
Dans ce cas, je comprends mieux.
Leur erreur est de n’ avoir pas fait exprès , par contre Facebook Etcetc , on sait qu on se fait siphonner on peut pas leur reprocher ensuite ,
C est un peu l histoire des gens qui ont peur du linky et qui manifestent contre , mais qui post leur vie sur Facebook....
@pariscanal
Ben non ... personne moi je ne veux pas du linky pour une raison financière. Avec le même abonnement, plusieurs amis ne peuvent plus allumer la machine à laver en regardant la télé et faire chauffer le repas. Ils sont poussés à prendre l’abonnement au dessus, donc plus cher.
Donc rien à voir avec la vie privée, on veut juste pas être pris pour des cons, et payer un service supérieur pour faire la même chose qu’avant !
@jerry75
Ah oui !!? Tu m en apprends
@pariscanal
Lol extrême mais pas con comme raisonnement
Dire que Ming Chi Kon avait annoncé une éclaircie pour Apple
L’action va sûrement continuer à morfler
@corben
+10% hier..
10 jours pour réagir ? Mais Apple joue à quoi en ce moment ? Cook est fatigué d'être CEO ? Parce qu'encore 1 comme ça et il saute.
Alerté fin janvier... faut-il comprendre fin janvier 2018? Parce que si c'est 2019, le fait qu'ils aient tardé à réagir n'est pas flagrant!
Ah ah ah ! Une semaine c’est trop long ! Passons la pile de tickets à gérer il reste toutes les étapes d’analyse avant d’identifier correctement le problème puis d’y apporter une réponse même temporaire et graduelle. Il ne s’agit pas ici d’un bout de code qui se corrige à la va vite sans étude d’impact préalable.
Ça apprendra à Apple de mettre à disposition un os qui est trufé de bug sans test réel au préalable. Ios est vraiment les Vista de la téléphonie...
La faille va encore plus loin que ça, hier soir j’ai créé un appel de groupe sur mon iPhone, j’ai raccroché, mais l’appel continuait sur mon Apple Watch sans que je ne le sache.... aucun signe de l’appel sur l’iPhone.
Attendez, il va bien finir par y avoir une action de groupe parce qu’Apple a privé pendant quelques jours certains groupes d’utilisateurs de la fonction appels groupés de FaceTime...