iOS, cible privilégiée des chercheurs en sécurité
Le marché des failles 0-day, ces failles qui ne sont pas connues des fabricants, est « inondé » par les vulnérabilités iOS, selon Zerodium. Si bien que cela a poussé cette société qui achète ces failles à offrir des récompenses plus élevées pour les vulnérabilités Android que pour iOS.
Zerodium verse 2,5 millions de dollars aux chercheurs en sécurité capables de dévoiler comment pirater complètement un terminal Android sans aucune action de l'utilisateur, contre 2 millions de dollars pour le même type d'attaque sur iOS.
Le fondateur de l'entreprise a expliqué à Motherboard que les failles iOS découvertes étaient plus nombreuses que celles sur Android principalement parce que beaucoup de chercheurs s'étaient mis à fouiner à plein temps sur le système d'Apple. Chaouki Bekrar a même affirmé qu'il avait commencé à refuser certaines failles iOS parce qu'il y en avait trop.
Crowdfense, une autre société qui achète des vulnérabilités, a confirmé qu'il y avait eu une augmentation des failles iOS sur le marché, tout en précisant qu'elles n'étaient pas toutes exploitables complètement.
Motherboard note que les récompenses pour les vulnérabilités 0-day iPhone restent néanmoins toujours élevées, celles-ci étant encore relativement peu nombreuses.
Apple a pris des mesures cet été pour que les chercheurs se tournent vers elle plutôt que vers des tiers pour rapporter les failles. Les dotations de son bug bounty ont été largement revues à la hausse (jusqu'à 1 million de dollars au lieu de 200 000 $) et des chercheurs pourront disposer d'iPhone n'intégrant pas toutes les fonctions de sécurité pour faciliter leur analyse, une demande de longue date de leur part.
On rappellera que la sécurité d'un système doit être abordée de manière holistique. Il est infiniment préférable d'avoir 1'000 failles mineures et très difficilement exploitables que 100 failles majeures et dont il est facile de tirer parti. Ne faire que compter les failles n'a aucun sens.
Il est obligatoire de prendre en compte tous les aspects :
- Nombre de failles
- Gravité de chacune
- Probabilité d'exploitation de chacune (une faille grave sur des appareils très peu répandus et utilisés pour des activités n'offrant aucune valeur aura peu de risque d'être exploitée)
- Facilité d'exploitation de chacune
- Rapidité de correction de chacune
- Déploiement des correctifs dans le parc installé (facilité de le faire, rapidité avec laquelle cela est fait)
- Exploitations connues
Le récent article sur la faille iOS exploitée par les autorités chinoises pour espionner les Ouïgours est un parfait exemple de cela. Une faille iOS, qui est un système qui pourrait être considéré comme plus sûr que d'autres, qui est restée présente pendant des années, permet d'obtenir des données importantes et peut être exploitée de manière extrêmement simple.
Au final, on se rend compte que l'évaluation de la sécurité informatique d'un système ne peut malheureusement que se faire a posteriori, c'est-à-dire une fois une faille exploitée. C'est à ce moment qu'on se rend compte de son impact. Avant cela, ça reste des prédictions (plus ou moins) hasardeuses.
@webHAL1
Quand tu t'exprimes dans ton champ de connaissance tu nous enrichis.
Merci
@ webHAL1: ah, enfin quelqu'un qui sait de quoi il parle et qui les explique clairement, sans arguties ni sophismes. Compétent quoi.
Je suis content de voir que tu confirmes une réflexion que je me suis faite hier à la suite d'échanges très agréables avec un trou noir ici-même, qui faisait reposer tout son argumentaire sur le fait qu'étaient recensées 36% de failles en plus sur Android que sur iOS sur l'ensemble de leur histoire… 🤦️ Et pour une raison étrange il semblait trouver ça peu 🤷♂️️ Et en plus sans faire la distinction critique/pas critique 😳️
Après un moment je me suis dit, mais si Android a plus de failles renseignées dans les CVE, n'est-ce pas parce qu'il est plus ouvert à l'investigation? Bref, vraiment pas une bonne mesure pour aller dans un sens ou dans l'autre!
Les dernières évolutions d'Apple sur le terrain de la sécurité sont vraiment inquiétantes. On ne peut qu'espérer que les efforts annoncés vont porter leurs fruits.
Quoi qu'il en soit, merci webHAL1.
@ webHAL1 : comme tu sembles savoir de quoi tu parles, j'ai une question pour toi: personnellement le seul problème que j'ai avec Android reste le fait que les mises à jour système restent très aléatoires et jamais plus de deux ans. Je sais que ce n'est pas absolument critique pour des appareils qu'on conserve environ 3 ans (un peu plus pour les iPhone) puisqu'il y a des patchs de sécuritéd distribués régulièrement, mais comme je disais leur distribution reste très aléatoire, ça continue à me préoccuper.
Penses-tu que j'ai tort? Je suis vraiment en train de me poser la question de switcher, mais ce sentiment de sécurité est crucial pour moi. L'étoile d'Apple se ternissant je me pose vraiment des questions!
Merci encore.
@YAZombie
Je me joins à YAZombie sur sa question.
@YAZombie
« Je sais que ce n'est pas absolument critique pour des appareils qu'on conserve environ 3 ans (un peu plus pour les iPhone) puisqu'il y a des patchs de sécuritéd distribués régulièrement, mais comme je disais leur distribution reste très aléatoire, ça continue à me préoccuper. »
En effet, les mises à jour de sécurité sont indépendantes de celles du système, donc je ne pense pas que ce point soit problématique. Par exemple, le Samsung Galaxy S7, qui date de 3 ans et demi et qui est un des modèles les plus vendus, continue à les recevoir.
De plus, il ne faut pas appliquer l'approche d'iOS à Android, car les deux systèmes ne sont pas identiques. Sur iOS par exemple, il sera impossible d'avoir une mise à jour de Safari ou de Messages sans une mise à jour système. Alors qu'Android pour sa part est bien plus modulaire. Même en étant sur une version qui n'est pas la toute dernière, il est tout à fait possible d'être à jour pour la majorité des applications.
Finalement, pour rebondir sur le "sentiment de sécurité", il suffit d'observer ce qui s'est passé depuis qu'Android existe. Y a-t-il eu des piratages de grande ampleur ou des vulnérabilités exploitées à grande échelle, comme ça a pu être le cas à une époque pour Windows ? Non. Ça ne veut pas dire qu'il n'y en aura jamais, mais à l'heure actuelle il ne me semble pas que le risque soit supérieur comparé à iOS. Et une chose importante à se rappeler : il est aujourd'hui nettement plus simple pour une personne malhonnête d'abuser du manque de connaissances de l'utilisateur que d'exploiter une faille informatique. On l'a vu par exemple avec l'application iOS qui promettait de mesurer la tension via un appui sur le bouton Touch ID, et qui en fait ne faisait que baisser la luminosité de l'écran au minimum et qui proposait de faire un achat intégré. Les victimes le validaient alors sans s'en rendre compte en posant leur doigt sur Touch ID.
Merci pour cette réponse super détaillée, c'est super, et j'entends tous tes arguments.
Il y a juste un truc que je ne comprends pas: les mises à jour majeures de l'OS, les parties qui ne sont pas modulaires, disons, n'apportent-elles pas de nouveaux outils de sécurité, dont ceux qui ne peuvent bénéficier des mises à jour seraient alors privés? Je pense - mais ce n'est qu'un exemple - au cryptage logiciel du disque, introduit dans je ne sais plus quelle version. Si Android 11 introduit des outils de sécurité, cela ne risque-t-il d'être au niveau de l'OS?
Je ne suis pas certain de bien m'expliquer, je n'ai pas nécessairement la terminologie adéquate, mes excuses.
@YAZombie
voici ce que j'ai pu lire dans la presse android (valable pour android 10) :
"L’un des grands problèmes d’Android est la disponibilité des mises à jour. Google a travaillé sur plusieurs mises à jour à rendre cela plus facile, et Android 10 est la mise à jour qui fait un premier grand pas en ce sens. Les patchs de sécurité sont en effet distribués par le Google Play Store directement désormais, sans avoir besoin de l’aval des constructeurs avant cela. Qui plus est, leur installation ne demandera plus de redémarrage complet de l’appareil."
Si Android 11 introduit des outils de sécurité, cela ne risque-t-il d'être au niveau de l'OS?
Si c'est Android alors oui c'est au niveau de l'OS. Par exemple, Google a intégré la fonctionnalité de localisation du smartphone et la possibilité de bloquer le smartphone. Cela a été fait via le playstore (donc pour tous les smartphones, y compris les vieux) parce que c'est un service de Google et non d'Android.
@YAZombie
« Il y a juste un truc que je ne comprends pas: les mises à jour majeures de l'OS, les parties qui ne sont pas modulaires, disons, n'apportent-elles pas de nouveaux outils de sécurité, dont ceux qui ne peuvent bénéficier des mises à jour seraient alors privés? Je pense - mais ce n'est qu'un exemple - au cryptage logiciel du disque, introduit dans je ne sais plus quelle version. »
Oui, si c'est véritablement une nouvelle fonctionnalité du système d'exploitation, et pas un service proposé par Google. Je rejoins de qu'a dit bibi81 ci-dessous.
Mais à ce niveau je pense que tous les systèmes sont logés à la même enseigne. :-)
@webHAL :
"Y a-t-il eu des piratages de grande ampleur ou des vulnérabilités exploitées à grande échelle, comme ça a pu être le cas à une époque pour Windows ? Non."
: http://www.fredzone.org/un-malware-se-trouve-dans-certaines-versions-and...
;)
@macam
L'article ne parle aucunement d'une vulnérabilité d'Android, mais d'un logiciel, qu'il faut donc d'abord installer - et donc après avoir accepter les demandes d'autorisations - qui ne fait pas uniquement ce qu'il prétend faire.
Même sur le plus sécurisé des OS, qu'une application, ayant reçue les autorisations des mains de l'utilisateur, qui voudrait faire autre chose que ce qu'elle est censée faire, cela restera toujours une possibilité.
@macam
« http://www.fredzone.org/un-malware-se-trouve-dans-certaines-versions-and...
;) »
Pourquoi partagez-vous ce lien sans aucun commentaire ? Qu'est-il sensé démontrer ? Je me demande si vous l'avez seulement lu...
Comme l'a bien expliqué byte_order ci-dessus, il ne s'agit nullement d'un problème d'Android en tant que tel.
Il comprend pas grand chose mais veut quand même casser du sucre sur le dos d'android...
Low IQ quand tu nous tiens. ;)
@ mouahaha: [edit: je pense que tu parles de macam, désolé. J'ai parfois l'impression qu'avoir ici une position critique de part et d'autre, sans a priori et sans conclusion définitive - soit ne pas prendre de parti idéologique - est égal à un envoi immédiat aux gémonies! 🤣️]
J'vais en profiter.
Oui oui j'parlais de macam, low IQ par excellence. Considérer des logiciels tiers comme des failles de sécurité propres à l'OS... Du coup quand mac os était livré en inclut de base une version ultra datée de flash, bah apparement ça en faisant l'OS le moins sécurisé au monde.
Apple et ses pubs sont donc l'exemple type du mensonge marketing. Mais bon je suis sur que la il trouvera une explication tirée par les cheveux pour couvrir apple. :)
@webHAL :
" Y a-t-il eu des piratages de grande ampleur OU des vulnérabilités exploitées à grande échelle" : j'ai donné l'exemple d'un piratage de grande ampleur n'exploitant pas de faille dans le code (oui, j'ai bien lu l'article, ainsi que celui de Kaspersky).
Tu me vouvoies maintenant ? Voyons, voyons, pas à moi... ;-)
@macam
« j'ai donné l'exemple d'un piratage de grande ampleur n'exploitant pas de faille dans le code (oui, j'ai bien lu l'article, ainsi que celui de Kaspersky). »
Non. Encore une fois, lisez l'article si que vous avez donnez si vous ne l'avez pas fait.
Il s'agit ici d'une version vérolée d'un logiciel qui a été distribuée. Ça n'est pas un problème lié à Android, qui était le sujet. De plus, l'ampleur est inconnue.
@webHAL :
Il est dit que cette application est téléchargée depuis le Play Store, qui selon moi va de pair avec Android...
@macam
« Il est dit que cette application est téléchargée depuis le Play Store, qui selon moi va de pair avec Android... »
Il y a eu une application iOS qui promettait de mesurer la tension via un appui sur le bouton Touch ID, et qui en fait ne faisait que baisser la luminosité de l'écran au minimum et qui proposait de faire un achat intégré. Les victimes le validaient alors sans s'en rendre compte en posant leur doigt sur Touch ID.
Pour vous, c'était une faille de sécurité iOS ?
C'est une attaque sous iOS via une app téléchargée sur l'Apple Store.
@macam
« C'est une attaque sous iOS via une app téléchargée sur l'Apple Store. »
C'est donc une faille de sécurité ?
"C'est donc une faille de sécurité ?"
Pour moi Google est responsable des applications proposées sur son Store, idem avec Apple.
@macam
« Pour moi Google est responsable des applications proposées sur son Store, idem avec Apple. »
Ça ne répond pas à la question que je vous ai posée.
@macam
"Tu me vouvoies maintenant ? Voyons, voyons, pas à moi... ;-) "
Attention son vouvoiement est signe d’un début d’agacement, il commence à mettre de la distance.
La phase suivante, si tu ne te rachètes pas, sera l’arrêt total de dialogue jusqu’à la nuit des temps.
Il est tout de même bien étrange que ces discussions sur la sécurité informatique tournent toujours au pugilat.
La sécurité se comprend sous deux aspect: le risque, et le danger. Le dernier paragraphe du post de webHAL, "Avant cela, ça reste des prédictions (plus ou moins) hasardeuses" indique clairement que le choix ne peut être à 100% rationnel. Certains vont s'axer prioritairement sur le nombre de failles recensées (risque), d'autres prioritairement sur l'absence ou la présence d'outils de sécurité (danger). Les deux préoccupations sont toujours présentes, les priorités diffèrent. Certains vont alors estimer que la faible diffusion des mises à jour de l'OS pouvant apporter de tels outils est un problème majeur (danger), d'autres vont estimer que les patches de sécurité mensuels compensent largement ce qui n'est pour eux pas un problème. À partir de là, chacun fait des choix qui correspondent à ses priorités. Et s'il y a in fine un exemple qui ne permet de pas de tirer de conclusion, c'est celui-ci. En revanche Apple et les grands coups d'éventails, il faut reconnaître que ça commence à bien faire ( je n'ai jamais eu une autre attitude à leur égard d'ailleurs…). Des mea culpa de temps en temps ça fait du bien à tout le monde.
Mais quel besoin de réécrire La Guerre et surtout pas La Paix pour ça…
@yazombie / webHAL1 / et les autres :
J'avais déjà un pressentiment sur ton identité (comme tu le dis, difficile d'échapper au fingerprinting). Mais me parler de mon roman préféré avec son véritable titre (selon qui nous savons)...
Tu as un bagage culturel solide, tu es très doué pour interpréter des personnages différents (ça me fait penser à Ellroy, un autre géant) : tu devrais tenter d'écrire un roman (aucune ironie de ma part).
@macam
Pourquoi votre commentaire m'est-il adressé ?
@HAL :
Sans doute parce que je suis paranoïaque. Ou pas.
("Je n'aime pas 2001 Odyssée de l'Espace." "Par contre, moi j'aime beaucoup.").
@macam
« Sans doute parce que je suis paranoïaque. Ou pas.
("Je n'aime pas 2001 Odyssée de l'Espace." "Par contre, moi j'aime beaucoup."). »
Je crois que se parler à soi-même c'est de la schizophrénie, pas de la paranoïa. Mais je ne suis pas spécialiste.
Alors tu es schizophrène.
@macam
« Alors tu es schizophrène. »
Ah oui ? Expliquez donc ça plus en détails, ça promet d'être passionnant !
"@yazombie / webHAL1 / et les autres :
J'avais déjà un pressentiment sur ton identité"
🤔️
Heu… amen?
@yazombie :
T'es un putain de taré Jean, ne joue pas au con avec moi ou je vais te casser sur ce site. Je ne suis pas le seul à avoir repéré ton cirque avec tous tes pseudos.
@ macam: deux autres personnes à la santé mentale problématique m'ont en effet accusé d'en avoir plusieurs. Si ça vous fait plaisir de penser que sur tous les lecteurs de MacGé et iGen un seul peut être en désaccord avec vous pour les mêmes raisons… Tout ce qui compte c'est votre bonheur.
@YAZombie
Ben oui, c'est plus facile ! Bon sang mais c'est bien sûr : si plusieurs personnes sont en désaccord avec moi, ça ne peut être que la même personne qui s'est créé plusieurs profils !
Technique également utilisée par fifounet et jazz678. -_-
@webHAL1: oui, c'est désarmant de puérilité. Moi j'ai eu la même chose avec pagaupa (🤡️) et macinoe (🤣️).
C'est mignon. Ce que j'aime bien en plus c'est les menaces 😂️😂️😂️ Et tu vas voir qu'il va claironner que nos échanges sont de la même personne 🙃️🙃️🙃️
(D'ailleurs je vais souligner ici même que nous ne sommes pas la même personne: je ne suis pas d'accord sur ta vision des mises à jour système d'Android; ça ne se passe pas comme ça sur iOS où pratiquement tout appareil en circulation reçoit ces mises à jour et pour moi c'est important. Tout en soulignant constamment les efforts plus que convaincants de Google - et la catastrophe pour iOS ces derniers temps - ça reste pour moi un point d'achoppement. Comme indiqué ci-dessus, c'est peut-être ma paranoïa mais comme tu l'indiques toi-même on ne peut pas être à 100% rationnel. Du coup ce n'est pas grave si on n'est pas 100% d'accord, c'est juste des prémisses différents! 😉️)
@YAZombie
« Du coup ce n'est pas grave si on n'est pas 100% d'accord! 😉️) »
Ah non, mais attends, ça ne va pas du tout ! fifounet m'attaque en permanence sur le fait que je ne discute qu'avec les personnes qui partagent exactement le même avis que moi, et que sinon je ne leur réponds pas (alors qu'en fait j'arrête simplement de répondre à celles et ceux qui sont incapables de faire preuve de respect, ce qui – pour moi – inclut les attaques personnelles permanentes et le fait de sans cesse déformer les propos de son interlocuteur).
Donc : merci de t'aligner immédiatement avec ma vision des choses. Sachant qu'en plus on est la même personne, je ne peux pas supporter qu'on ne soit pas d'accord ! 😂
@ webHAL1: 🤣️🤣️🤣️
Si tu pouvais imaginer à quel point je te rejoins…
@YAZombie
« Si tu pouvais imaginer à quel point je te rejoins… »
Oh, je pense que je peux imaginer. 😆
Il y a malheureusement sur MacG, comme sur tous les forums Internet, de ces personnes avec qui le dialogue est impossible et qui préfèrent multiplier les attaques personnelles plutôt que d'essayer de discuter en bonne intelligence. Mais fort heureusement elles sont loin d'être majoritaires et il est tout à fait possible d'avoir ici des échanges intéressants (d'autant plus enrichissants qu'on ne partage pas le même avis). 👍
@webHAL1
Et
@YAZombie pour avis
"Il y a malheureusement sur MacG, comme sur tous les forums Internet, de ces personnes avec qui le dialogue est impossible et qui préfèrent multiplier les attaques personnelles plutôt que d'essayer de discuter en bonne intelligence. "
On nage en plein surréalisme quand même ici
Je commence à douter sérieusement de cette mascarade
Donc as tu lu les derniers échanges de yazombie avec d’autres il y a 2-3 jours ?
C’est pas piqué des hannetons et là ça te dérange pas ? Les attaques de yazombie ont fusées
Moi non ça me fait rien mais toi ? Bizarre
Haaaa oui mais c’était pas contre toi alors ça passe mieux !!! Haaaaaaa ! Tu fermes les yeux quand c’est contre les autres ?
@webHAL1
"Ah non, mais attends, ça ne va pas du tout ! fifounet m'attaque en permanence sur le fait que je ne discute qu'avec les personnes qui partagent exactement le même avis que moi"
Tu qualifies ça d’attaque pour te placer en victime. Alors que ce n’est qu’une constatation
Donc Tu mens effrontément
Ça aussi c’est juste un constat.
Si chaque fois qu’on te fait remarquer un défaut c’est une attaque alors oui tu es à plaindre
@webHAL1
"Technique également utilisée par fifounet et jazz678. -_-"
Y’a aussi une méthode bien connue ici et que tu appliques souvent qui dit :
« Quand tu veux te débarrasser de ton chien tu dis qu’il a la rage »
Et toi tu y ajoute
« Et je ne répond plus »
@webHAL1
« Ben oui, c'est plus facile ! Bon sang mais c'est bien sûr : si plusieurs personnes sont en désaccord avec moi, ça ne peut être que la même personne qui s'est créé plusieurs profils ! »
Est ce que tu veux que je te remémore tes méthodes à toi ?????
Toi le saint du forum ?
Ta méthode consistant à remuer les vieilleries bien rances quand quelqu’un te gêne ?
Ou faire remarquer à tout le monde , sur moi , JMK à une époque et autres
« Tiens vous avez vu lui avant c’était un tel et lui un tel hahahahah les bannis »
T’as ds leçons à donner toi ?
Comique va
@webHAL1
@webHAL1
Il ne t’a fallu que 8mn pour répondre à Yazombie sur un vieil article datant d’une semaine et un commentaire qui ne t’étais même pas destiné ??
Chapeau bas !
J’ai jamais vu ça 😎
@macam
Je commence fortement à douter.
Même si j’avais chambré webHAL1 sur ça il y a quelques temps sans être convaincu je pense que c’est une mascarade
Il arrive à répondre dans l’instant à Yazombie sur un commentaire ne lui étant pas destiné donc sans notification et sur un article bien périmé d’une semaine , c’est très étonnant.
Quant à Yazombie, qui n’a pourtant pas la langue dans sa poche, c’est silence radio dès que je lui demande un avis sur la manière discutable de faire de webHAL1
Encore plus étonnant
@ fifounet: je n'ai pas lu en détail. Je ne vous connais pas particulièrement ni l'un ni l'autre, on ne doit pas commenter habituellement sur les mêmes sujets, rien de plus. Je connais mieux oomu ou bigdidou par exemple. Bref, tout ça pour dire que vos acrimonies ne me regardent pas.
La seule chose que je peux dire, c'est que ta théorie sur les notifications ne fonctionne pas: tout dépend des réglages. Je suis quant à moi en général sur "réponses à mon commentaire" mais il m'est arrivé de tous les recevoir. C'est peut-être le cas de webHAL tout simplement.
M'enfin, si ça te fait plaisir, tu sais, ce genre de théories étant indémontrable, auto-alimentée par l'apophénie et insensible à toute rationalité, comme je disais à macam, fais-toi plaisir. Finalement c'est tout ce qui compte.
Et je ne vais pas revenir sur mon conflit précédent. Merci.
@YAZombie
« La seule chose que je peux dire, c'est que ta théorie sur les notifications ne fonctionne pas: tout dépend des réglages. Je suis quant à moi en général sur "réponses à mon commentaire" mais il m'est arrivé de tous les recevoir. C'est peut-être le cas de webHAL tout simplement. »
Mais nooooon, rappelle-toi : nous sommes la même personne ! 😂
@webHAL1
Disons que le doute m’habite
Mais rien n’est figé , clone , connaissance , ami ?
Souvent les fils sont trop gros pour être réels (opposition forcée sur un sujet etc pour noyer le poisson etc 😎)
@fifounet :
Par rapport à ce commentaire de Yazombie : bigdidou est un autre de ses pseudos (et il n'est pas big, ne s'appelle pas Didier et n'est pas médecin - il ne touche pas une bille dans les matières scientifiques).
Pages