Piratage d'iPhone : Apple accuse Google de pratiquer la politique de la peur [màj]
Apple n'a manifestement pas trop apprécié la manière dont Google a révélé des cas de piratage d'iPhone liés à 14 vulnérabilités touchant Safari, le noyau d'iOS et le sandboxing (lire : Des iPhone ont pu être piratés pendant des années, démontre Google). Seul hic, l'équipe du projet Zero a escamoté, sciemment ou inconsciemment, certains détails.
Comme par exemple le fait que la minorité ouïgoure avait été ciblée par les autorités chinoises par le biais de ces failles de sécurité, et que l'iPhone n'était pas la seule plateforme concernée : Android et Windows étaient aussi invités à la fête. Dans un communiqué, Apple entend remettre les pendules à l'heure et « s'assurer que tous nos clients ont les faits ».
Le constructeur rappelle pour commencer que ces attaques se concentraient sur une cible assez spécifique, loin du piratage de masse que laissait entendre Google. « L'attaque a touché moins d'une dizaine de sites consacrés à la communauté ouïgoure », explique Apple. Mais néanmoins, « quelle que soit l'ampleur de l'attaque, nous prenons la sécurité de tous les utilisateurs extrêmement au sérieux ».
Apple s'agace visiblement que les billets postés par Google « six mois après les correctifs » ont pu créer une impression « d'exploitation de masse afin de surveiller les activités confidentielles des populations en temps réel ». Provoquant ainsi la peur chez les utilisateurs d'iPhone que leurs appareils étaient compromis. « Ça n'a jamais été le cas », martèle le constructeur.
Le second point mis en évidence par Apple est que ces attaques ont duré deux mois environ, et pas « les deux années avancées par Google ». Les correctifs ont été apportés en février, dix jours après qu'Apple s'en est aperçu. « Lorsque Google nous a approchés, nous étions déjà en train d'apporter des correctifs ».
Pour conclure, Apple indique que la sécurité est un « voyage sans fin » : les utilisateurs des appareils du constructeur peuvent s'appuyer sur le travail des équipes de sécurité de la Pomme. « La sécurité d'iOS est inégalée car nous assumons la responsabilité de la sécurité de notre matériel et de nos logiciels de bout en bout ».
Mise à jour — Google s'en tient à son rapport d'origine, dans une déclaration envoyée à The Verge. Le moteur de recherche rappelle que les billets postés par le projet Zero ont pour objectif d'améliorer la compréhension des failles de sécurité pour renforcer la sécurité et élaborer des « stratégies de défense ». Les articles de l'équipe Zero se concentraient sur les aspects techniques des failles. Google indique enfin que le travail se poursuit avec Apple et les autres entreprises pour sécuriser les utilisateurs.
Dans tous les cas merci Google pour les signalements de failles.
merci Google mais pas merci Alphabet qui n'a pas fais de mise a jour de sécurité sur tous les appareils Android ;
et google n'a pas besoin de faille pour récupérer les données de votre compte sans votre consentement .
https://www.zdnet.fr/actualites/une-nouvelle-faille-zero-day-divulguee-d...
@themasck
Google, comme tant d’autres c’est ici :
« Faites ce que je dis, mais pas ce que je fais » :/
@marc_os
GRAVE !!!
Bien tout le monde rapporte des failles de sécurité et les partenaires sont en général contents.
Il n'y a que Apple qui fait sa pleurnicheuse au final...
@alexis83,
Tu connais l'expression US "Good boy" ?
@nemrod
Que des failles soit reportés aux constructeurs je trouve ça bien c’est tout. Après que la communications soit tendancieuses ok mais je ne vois pas en quoi il faudrait leurs reprocher le fait de trouver des failles pour prévenir les constructeurs.
@alexis83
Apple a déclaré avoir corrigé la faille et qu’il s’agit de 2 mois, pas 2 ans.
Je ne dis pas qu’ils ont raison, je n’en sais rien, mais ...
@nemrod
... Mais tu n'en sais rien !
Tu es perspicace toi 🤔
Apple a corrigé les failles d'iOS12 (possiblement 2 mois après avoir constaté leur exploitation), mais des failles similaires ayant été mises en évidence par le Zero Project sur iOS11 et iOS10, celles-ci existaient bien depuis plus de 2 ans (et existent toujours, n'ayant pas été corrigées).
@alexis83
oui, qu'Apple se sorte les doigts et tout ira mieux !!...
Quel étonnement que Google essaye de salir un concurrent, c'est pas leur genre de se débarrasser des concurrents de façon douteuses.
Bien oui c'est évident que Google s'est levé un matin et a dit : tiens on va prendre un bug vieux de deux ans et on va dire qu'il a deux mois, les gens n'y verront que du feu et ça fera vendre moins d iPhone
Il y en a qui réfléchissent de temps en temps ?
@fousfous
Android est la première plate-forme mobile.
Largement devant Apple !
Deux modèles différents.
Réfléchis un peu.
Tiens qu’est-ce que je disais déjà dans un autre post ...🤔🤫🤭😏.
@Alberto8
Beau dégradé !
Google risque de perdre un gros client avec des annonces de ce genre...
Google risque de perdre un gros client avec des annonces de ce genre...
Le client c'est celui qui fait le chèque, pas celui qui le reçoit ;)
il est évident que la pomme allait tirer la tronche!
rendez vous compte,un autre boutique trouve des failles,que elle même n’est pas capable de trouver.
@p@t72
Visiblement, Apple n’a pas eu besoin de Google...
« Lorsque Google nous a approchés, nous étions déjà en train d'apporter des correctifs ».
Ils peuvent dire ce qu'ils peuvent chez Apple personne ne peut le vérifier (c'est l'avantage de ne pas ouvrir le code source, on peut baratiner tout le monde)...
@bibi81
Tu vas tomber de haut : idem chez Android.
Les devs de nouvelles fonctions sont souvent privées
https://source.android.com/setup/start/faqs#why-are-parts-of-android-dev...
(Sans parler du gros morceau « Play services « complément privée )
Tu vas tomber de haut : idem chez Android.
Les devs de nouvelles fonctions sont souvent privées
Par définition les nouvelles fonctions sont privées avant d'être rendues publiques. Moi je parle de la correction des failles dans le code existant !
@bibi81
Tant qu’il n’y a pas eu de commit, le Dev est privée .
Pas moyen de savoir quand il a commencé ...
Open source ou pas 🤷♂️
Tant qu’il n’y a pas eu de commit, le Dev est privée .
Pas moyen de savoir quand il a commencé ...
Open source ou pas 🤷♂️
Ben oui mais quand on dit que le bug est corrigé cela veut dire qu'il y a un commit qui en atteste ;)
Ils connaissaient peut être les bugs, ils ne savaient certainement pas qu'ils étaient exploitées.
Un backlog remplis de failles, c'est pas ce qui manque. Ça ne veut pas dire que les failles auraient été corrigés a court terme.
Discours apple....
D'ailleurs n'importe quelle entreprise ferais la même chose !
@mjuaneda
> Visiblement, Apple n’a pas eu besoin de Google...
> « Lorsque Google nous a approchés, nous étions déjà en train d'apporter des correctifs ».
Visiblement, Apple a oublié qu'elle a cité les auteurs des 2 rapports de vulnérabilités qu'elle a corrigé dans iOS 12.1.4:
https://support.apple.com/en-us/HT209520
----
CVE-2019-7286: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero
CVE-2019-7287: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero
----
Elle donne crédit à autrui à des choses qu'elle aurait elle même trouvé toute seule, avant !?
Attention, les communications à la presse ne sont pas rédigées par des ingénieurs en informatique expert en sécurité logicielle mais pas des experts en communication.
Cela constitue un indice et un indicateur sur la distance qu'il faut savoir prendre en les lisant.
@p@t72 |,
Tu sais lire ? Raisonner ?
@nemrod
"Tu sais lire ? Raisonner ?"
Ça tu peux oublier 🤡
Ah bozzo comment tu vas ?
@nemrod
> Tu sais lire ? Raisonner ?
Et vous ?
https://support.apple.com/en-us/HT209520
Comment expliquez vous qu'Apple cite les auteurs, membres de Project Zero, des rapports de vulnérabilité en question qu'elle a corrigé dans iOS 12.1.4 alors que dans son communiqué de presse elle affirme désormais qu'elle était déjà au courant, et donc n'aurait eu aucun crédit à donner à autrui pour leur correction ?
Qu'est-ce qui vous parait le plus probable, à la lumière de cette contradiction ?
@p@t72
"rendez vous compte,un autre boutique trouve des failles,que elle même n’est pas capable de trouver."
Tu as dû lire l’article en diagonale alors...
@Chris_on_the_roof (et les autres) :
Don't feed the troll...
@macfredx
"Don't feed the troll..."
Oui, bien sûr 😉 Facile de trouver des trolls quand on en a besoin 😂
Tu as seulement lu l'article d'igeneration et le communiqué de presse d'apple !?
@p@t72
"Tu as seulement lu l'article d'igeneration et le communiqué de presse d'apple !?"
Désolé, tu as la science infuse... 🤭 mince, je savais pas 🤨
Chris on the...
La seul chose que je sais infuser c'est le 🍵 💋
Après si tu sais pas grand chose ce n'est pas de ma faute!
Pour l'un comme l'autre c'est du marketing ...
@Elkaar
Exactement.
L’objectif de Google est de montrer que le marketing d’Apple sur la sécurité est surfait. Et c’est réussi.
@Lemon19
Apple est mieux en sécurité ;)
Oui c'est dit dans la publicité, comme Monsieur Propre si fait briller la cuisine, et Dash qui lave plus blanc que blanc.
Si c'est dit a la télé, c'est que c'est vrai
@Godverdomme
Nan c'est omo !.... 😉
👍
Vaut mieux mentir à ses clients en leurs faisant croire qu'ils vivent dans un monde bisounours...
@Levrai
Hein ???
Google, le médiapart d’Apple? 😂😂😂
De la part d'Apple, cela faisait longtemps que je n'avais pas lu des arguments aussi moisis. Si Apple prenait VRAIMENT la sécurité au sérieux, plutôt que de se retrancher derrière un bla-bla marketing, elle n'en serait pas là.
@carabat
10 jours pour corriger des failles sur des millions d’appareils : c’est du super sérieux 👌
Chez Google, 6 mois ne suffisent pas pour corriger certains failles.
Sans parler du déploiement catastrophique des patch ms
https://www.zdnet.fr/actualites/une-nouvelle-faille-zero-day-divulguee-d...
Pages