Faille FaceTime : la justice new-yorkaise sur les talons d’Apple

Mickaël Bazoge |

En attendant le correctif annoncé pour cette semaine, les ennuis s’accumulent pour Apple qui a laissé traîner une vilaine faille de sécurité dans la fonction de conversation de groupe FaceTime. Une première plainte a été déposée contre le constructeur, et désormais ce sont le bureau du gouverneur de New York, Andrew Cuomo, ainsi que la procureure générale de l’État américain, Letitia James, qui ont lancé une enquête commune sur ce bug.

Il s’agit de déterminer pourquoi Apple a mis tant de temps pour avertir les utilisateurs de cette faille. Le constructeur avait été mis au courant fin janvier et de ce qu’on en comprend, il n’a pas été particulièrement proactif pour combler une faille qui permet d’écouter en douce son correspondant avant qu’il décroche l’appel (lire : FaceTime en groupe : la petite histoire derrière le gros bug de communication).

La procureure générale a indiqué que cette faille de FaceTime représentait une « menace sérieuse à la sécurité et pour la vie privée de millions de New-Yorkais qui ont mis toute leur confiance dans Apple et ses produits toutes ces années ». La Pomme a temporairement bloqué la fonction d’appels de groupe FaceTime.

avatar bbibas | 

Qu’elle s’occupe aussi de Google et Facebook

avatar Kol | 

Entièrement d'accord

avatar Seize | 

@bbibas

Mais les utilisateurs de Facebook ont coché la case “J’accepte d’être enc... profond de mon plein gré et de partager les photos de ma famille et de mes enfants afin de vous servir mon humble maître.”
Donc ils peuvent rien dire.

avatar pagaupa | 

@bbibas

Pour l’instant la faille est chez Apple...

avatar bbibas | 

@pagaupa

Euh car tu penses que tous les autres OS ou logiciels n’ont aucunes failles ?
Apple étant plus médiatique, donc plus intéressant en terme de visibilité pour les médias (print et web)

avatar IceWizard | 

Apple, mise au courant de la faille fin Janvier, a traîner pour réagir ? Heu .. fin Janvier c’est maintenant, non ?

avatar Woaha | 

@IceWizard

Ils vivent dans un monde parallèle

avatar frankm | 

@IceWizard

Ils sont fracassés. Leur président voit un -50° il demande où est le réchauffement climatique.

avatar Chanteloux | 

@frankm

Mais c'est une excellente question! Je veux bien croire tous les météorologues du monde, mais cette idée du réchauffement climatique (j'y crois quand même par confiance en les spécialistes) ne correspond pas à l'expérience vécue de bien des gens. Dans mon coin de Quebec on a jamais autant gelé, mais ça c'est un peu réchauffé: on est passé ces jours-ci
de -39 à -28... Ce décalage persistant vision scientifique/expérience vécue pose un problème.

Bon, je sais tout ça n'a pas rapport... excusez-moi!

avatar DG33 | 

@Chanteloux

Ça tient peut être simplement à la différence qu’il y a entre un climat et un bulletin météorologique, non ?

avatar Clément34000 | 

@IceWizard

Oui c sûr, je ne comprends pas trop l’empressement ! Ne remettant pas en doute le fait que le bug peut provoquer un sacré bordel, surtout dans le monde d’affaires

avatar showmehowtolive | 

@Clément34000

Surtout que tu sais qui t’appelle en FaceTime donc c’est pas vraiment fait pour espionner.

avatar SyMich | 

Tu sais qui t'appelle quand c'est un de tes correspondants habituels! Sinon tu vois juste un numéro d'appel ou un e-mail qui ne te disent absolument pas qui est l'appelant. Donc tu laisses sonner (permettant 1 minute d'écoute à ton insu)

avatar reborn | 

Et Alexa qui envoie des conversations privés, là il n’y a pas de d’action en justice ?

avatar DareMac | 

@reborn

J’imagine que la différence entre le bogue Alexa, qui a touché une personne, est que la faille FaceTime pouvait affecter tous les utilisateurs.

avatar occam | 

@reborn

Ian Bogost vient d’écrire une pièce assez réfléchie sur ce sujet dans The Atlantic :
https://www.theatlantic.com/technology/archive/2019/01/apple-facetime-bu...
Il y considère aussi des conséquences à plus long terme, qui pourraient s’avérer paradoxales.

Mais il importe de sortir de la bulle Apple-centrique, de se garder de tout whataboutisme genre « Et Alexa ? », et de bien saisir l’ampleur de l’affaire.

L’écho médiatique est immense, et après la première déferlante de « Schadenfreude » à l’encontre d’Apple et de la langue de bois de Tim Cook, on lit de plus en plus souvent une question fort simple, et qui résonne auprès du grand public : s’il ne s’agit « que » d’un bug, banal d’apparence, à quoi d’autre s’expose-t-on en permanence, sans le savoir, avec la possible connivence des fabricants, des fournisseurs, des prestataires, des réseaux ? Quelle est la partie immergée de l’iceberg ?

avatar pagaupa | 

@reborn

Bien vu!

avatar jopaone | 

Surprenant que d’aussi grosses nouveautés ne soient pas mieux testées en amont ...

avatar yocoman31 | 

@jopaone

Faisant du dev informatique je peux te dire que tu as beau faire tester tes développements autant de fois que tu veux il restera toujours des petites failles ... c’est impossible de penser à tous les cas possible qui peuvent arriver
Dans mon boulot j’ai des bugs qui sont remontés 2-3 mois après la sortie d’une grosse fonctionnalité et souvent c’est parce que l’utilisateur a faire une combinaison d’actions dans un ordre très précis que tu n’aurais jamais pensé faire ..

avatar 0MiguelAnge0 | 

@yocoman31

Je pense que la logique est mauvaise. J’ai une equipe qui fait aussi des devs pour de l’embarquer o combien plus sensible. Ce que je leur demande et de blinder les fonctions critiques avec des tests de cohérences dès leurs entrées: si l’etat du système n’est pas consistant quand ils rentrent dans la fonction, ils partent directement en mode safe.

On ne peut pas blinder les sytèmes complexes avec le sytème lui-même en espérant pourvoir faire toutes les combinaisons possibles lors des tests.
Je ne leur demande pas de perdre du temps à essayer de me démontrer pourquoi on ne peut pas appeler une fonction critique dans un cas non prévu car ‘les couches au-dessus’ veillent, mais de partir du principe qu’il y aura une faille et qu’ils doivent être parer à cela.

avatar Ramlec | 

@0MiguelAnge0

Logique trop peu apprise et appliquée à mon goût.
Je me souviens de mon cursus universitaire, un seul de nos profs fonctionnait de cette manière et nous y forçait par la même occasion.

avatar Phiphi | 

@0MiguelAnge0

Je suis plutôt d’accord. Il n’y a qu’à voir comment ils apprennent aux jeunes à coder dans Playgrounds : bidouille un truc qui marche dans un ou deux cas, puis bidouille le pour d’autres cas, puis regarde ce que ça fait dans tels cas et bidouille encore. Si le hasard ne t’as pas permis de programmer un truc utile, jette et recommence. Ce n’est pas du tout une méthode qui prends en compte la sécurité. Si les gars travaillaient comme ça en mécanique ils passeraient leur vie entre des poubelles pleine.
Si vider les corbeilles informatiques avait un coût perceptible, on ferait beaucoup plus attention.
De plus en mécanique il faut faire de la maintenance parce que les choses s’usent. Si les programmes étaient développés correctement on ne pourrait pas en faire payer la maintenance alors pourquoi se priver de travailler comme des sagouins ?

avatar thebarty | 

@0MiguelAnge0

Mon mentor dans ce domaine m’avait surpris au bout d’un mois de collaboration. On déjeunait dans un restaurant et, d’un coup, il me pose une question : « regarde par cette voiture par la fenêtre. De quelle couleur est la voiture sur le parking ? »
« Ben, elle est rouge »
Réponse: « non. Tu perçois le rouge avec tes possibles défaillances visuelles et au travers d’une vitre dont tu ne connais pas les impacts sur la réfraction »
L’homme n’est pas parfait et, partant, ce qu’il s’évertue à créer ne sera pas parfait.

avatar pagaupa | 

@yocoman31

Tu as raison. D’ailleurs tant qu’un développement n’est pas testé sur le terrain, on ne peut être certain de rien.

avatar BLM | 

«il n’a pas été particulièrement proactif»
Pas "proactif» mais "réactif”

avatar Bigdidou | 

@BLM

« «il n’a pas été particulièrement proactif»
Pas "proactif» mais "réactif” »

Oui, c’est pas clair, ce qui est reproché.
Parce que la réactivité est là.
Fin janvier, c’est maintenant, faut pas pousser.

Et si on judiciarise cette faille, va falloir ouvrir un département entier, parce que il y en a plein d’autres qui méritent alors le même traitement, passées, présentes, à venir...

avatar 33man | 

@Bigdidou

Bof à ce que j’ai vu la miss avec son fils qui a découvert le bug a envoyé des mails à Apple le 21 janvier, bref, pour certains une semaine c’est beaucoup...

Moi je me dis Apple enregistre le prétendu bug dans leur système et des types au support prennent les tickets un après les autres et vérifient que c’est bien un bug.

S’il suffirait qu’un utilisateur lambda (style samsoule) envoie un mail avec : hey Apple y a un bug dans Apple Pay, ou dans iMessage.

Paf paf crack 10 secs après Apple verrouille la fonctionnalité...

Je peux te dire que ça geulerait plus que maintenant.

avatar Bigdidou | 

@33man

Complètement d’accord, pour le coup.

avatar alfatech | 

@33man

+1000

avatar occam | 

@Bigdidou

"Et si on judiciarise cette faille, va falloir ouvrir un département entier"

Ce n’est pas ainsi que le monde tourne, ce n’est pas ainsi que la justice US fonctionne.

Il faut saisir la dimension politico-médiatique de l’affaire, et le capital que des procureurs new-yorkais — soumis, rappelons-le, à des élections très politisées — pourraient en tirer. Et quand on est au manettes d’une entreprise comme Apple, il faut agir et réagir sur le réel.

J’avais signalé sur un autre fil deux failles dans Microsoft Exchange, potentiellement dévastatrices, l’une connue et reconnue depuis des mois, restée sans remède. Pour une entreprise, l’exploitation de ces failles serait bien plus dangereuse que le bug FaceTime. Et justiciable en conséquence. Or l’écho médiatique y est minime. À matraquer la confidentialité, on périt en paraissant la trahir ; à vivre sous les projecteurs, on meurt sous les projecteurs.

Le confrère allemand de MacG, MacTechNews, titrait à la une ce matin : « Le bug FaceTime prend l’ampleur d’un désastre. » Et de conclure : « La communication d’Apple — encore et toujours. Apple a pris l’habitude déplorable de ne réagir que lorsque la pression publique devient trop grande, ou sous la menace de conséquences judiciaires. »

Plus que la faille, c’est la gestion de la communication au sujet de la faille qui est en cause. Et comme elle est défaillante à répétition, elle constitue une faille en soi.

avatar Bigdidou | 

@occam

« Plus que la faille, c’est la gestion de la communication au sujet de la faille qui est en cause. Et comme elle est défaillante à répétition, elle constitue une faille en soi. »

OK, ce que tu me dis, c’est que c’est plus la communication autour de la faille que la faille elle-même qui donne matière à action en justice.
Dans ce cas, je comprends mieux.

avatar pariscanal | 

Leur erreur est de n’ avoir pas fait exprès , par contre Facebook Etcetc , on sait qu on se fait siphonner on peut pas leur reprocher ensuite ,

C est un peu l histoire des gens qui ont peur du linky et qui manifestent contre , mais qui post leur vie sur Facebook....

avatar jerry75 | 

@pariscanal

Ben non ... personne moi je ne veux pas du linky pour une raison financière. Avec le même abonnement, plusieurs amis ne peuvent plus allumer la machine à laver en regardant la télé et faire chauffer le repas. Ils sont poussés à prendre l’abonnement au dessus, donc plus cher.
Donc rien à voir avec la vie privée, on veut juste pas être pris pour des cons, et payer un service supérieur pour faire la même chose qu’avant !

avatar pariscanal | 

@jerry75

Ah oui !!? Tu m en apprends

avatar Clément34000 | 

@pariscanal

Lol extrême mais pas con comme raisonnement

avatar corben | 

Dire que Ming Chi Kon avait annoncé une éclaircie pour Apple

L’action va sûrement continuer à morfler

avatar reborn | 

@corben

+10% hier..

avatar romain_g | 

10 jours pour réagir ? Mais Apple joue à quoi en ce moment ? Cook est fatigué d'être CEO ? Parce qu'encore 1 comme ça et il saute.

avatar SyMich | 

Alerté fin janvier... faut-il comprendre fin janvier 2018? Parce que si c'est 2019, le fait qu'ils aient tardé à réagir n'est pas flagrant!

avatar Domsware | 

Ah ah ah ! Une semaine c’est trop long ! Passons la pile de tickets à gérer il reste toutes les étapes d’analyse avant d’identifier correctement le problème puis d’y apporter une réponse même temporaire et graduelle. Il ne s’agit pas ici d’un bout de code qui se corrige à la va vite sans étude d’impact préalable.

avatar Levrai | 

Ça apprendra à Apple de mettre à disposition un os qui est trufé de bug sans test réel au préalable. Ios est vraiment les Vista de la téléphonie...

avatar igormages | 

La faille va encore plus loin que ça, hier soir j’ai créé un appel de groupe sur mon iPhone, j’ai raccroché, mais l’appel continuait sur mon Apple Watch sans que je ne le sache.... aucun signe de l’appel sur l’iPhone.

avatar DG33 | 

Attendez, il va bien finir par y avoir une action de groupe parce qu’Apple a privé pendant quelques jours certains groupes d’utilisateurs de la fonction appels groupés de FaceTime...

CONNEXION UTILISATEUR