Piratage d'iPhone : Apple accuse Google de pratiquer la politique de la peur [màj]

Mickaël Bazoge |

Apple n'a manifestement pas trop apprécié la manière dont Google a révélé des cas de piratage d'iPhone liés à 14 vulnérabilités touchant Safari, le noyau d'iOS et le sandboxing (lire : Des iPhone ont pu être piratés pendant des années, démontre Google). Seul hic, l'équipe du projet Zero a escamoté, sciemment ou inconsciemment, certains détails.

Comme par exemple le fait que la minorité ouïgoure avait été ciblée par les autorités chinoises par le biais de ces failles de sécurité, et que l'iPhone n'était pas la seule plateforme concernée : Android et Windows étaient aussi invités à la fête. Dans un communiqué, Apple entend remettre les pendules à l'heure et « s'assurer que tous nos clients ont les faits ».

Le constructeur rappelle pour commencer que ces attaques se concentraient sur une cible assez spécifique, loin du piratage de masse que laissait entendre Google. « L'attaque a touché moins d'une dizaine de sites consacrés à la communauté ouïgoure », explique Apple. Mais néanmoins, « quelle que soit l'ampleur de l'attaque, nous prenons la sécurité de tous les utilisateurs extrêmement au sérieux ».

Apple s'agace visiblement que les billets postés par Google « six mois après les correctifs » ont pu créer une impression « d'exploitation de masse afin de surveiller les activités confidentielles des populations en temps réel ». Provoquant ainsi la peur chez les utilisateurs d'iPhone que leurs appareils étaient compromis. « Ça n'a jamais été le cas », martèle le constructeur.

Le second point mis en évidence par Apple est que ces attaques ont duré deux mois environ, et pas « les deux années avancées par Google ». Les correctifs ont été apportés en février, dix jours après qu'Apple s'en est aperçu. « Lorsque Google nous a approchés, nous étions déjà en train d'apporter des correctifs ».

Pour conclure, Apple indique que la sécurité est un « voyage sans fin » : les utilisateurs des appareils du constructeur peuvent s'appuyer sur le travail des équipes de sécurité de la Pomme. « La sécurité d'iOS est inégalée car nous assumons la responsabilité de la sécurité de notre matériel et de nos logiciels de bout en bout ».

Mise à jour — Google s'en tient à son rapport d'origine, dans une déclaration envoyée à The Verge. Le moteur de recherche rappelle que les billets postés par le projet Zero ont pour objectif d'améliorer la compréhension des failles de sécurité pour renforcer la sécurité et élaborer des « stratégies de défense ». Les articles de l'équipe Zero se concentraient sur les aspects techniques des failles. Google indique enfin que le travail se poursuit avec Apple et les autres entreprises pour sécuriser les utilisateurs.

avatar alexis83 | 

Dans tous les cas merci Google pour les signalements de failles.

avatar themasck | 

merci Google mais pas merci Alphabet qui n'a pas fais de mise a jour de sécurité sur tous les appareils Android ;
et google n'a pas besoin de faille pour récupérer les données de votre compte sans votre consentement .
https://www.zdnet.fr/actualites/une-nouvelle-faille-zero-day-divulguee-d...

avatar marc_os | 

@themasck

Google, comme tant d’autres c’est ici :
« Faites ce que je dis, mais pas ce que je fais » :/

avatar WingmanTed | 

@marc_os

GRAVE !!!

avatar Godverdomme | 

Bien tout le monde rapporte des failles de sécurité et les partenaires sont en général contents.
Il n'y a que Apple qui fait sa pleurnicheuse au final...

avatar nemrod | 

@alexis83,

Tu connais l'expression US "Good boy" ?

avatar alexis83 | 

@nemrod

Que des failles soit reportés aux constructeurs je trouve ça bien c’est tout. Après que la communications soit tendancieuses ok mais je ne vois pas en quoi il faudrait leurs reprocher le fait de trouver des failles pour prévenir les constructeurs.

avatar nemrod | 

@alexis83

Apple a déclaré avoir corrigé la faille et qu’il s’agit de 2 mois, pas 2 ans.

Je ne dis pas qu’ils ont raison, je n’en sais rien, mais ...

avatar p@t72 | 

@nemrod
... Mais tu n'en sais rien !

avatar nemrod | 

Tu es perspicace toi 🤔

avatar SyMich | 

Apple a corrigé les failles d'iOS12 (possiblement 2 mois après avoir constaté leur exploitation), mais des failles similaires ayant été mises en évidence par le Zero Project sur iOS11 et iOS10, celles-ci existaient bien depuis plus de 2 ans (et existent toujours, n'ayant pas été corrigées).

avatar appleadict | 

@alexis83

oui, qu'Apple se sorte les doigts et tout ira mieux !!...

avatar fousfous | 

Quel étonnement que Google essaye de salir un concurrent, c'est pas leur genre de se débarrasser des concurrents de façon douteuses.

avatar Godverdomme | 

Bien oui c'est évident que Google s'est levé un matin et a dit : tiens on va prendre un bug vieux de deux ans et on va dire qu'il a deux mois, les gens n'y verront que du feu et ça fera vendre moins d iPhone

Il y en a qui réfléchissent de temps en temps ?

avatar p@t72 | 

@fousfous
Android est la première plate-forme mobile.
Largement devant Apple !
Deux modèles différents.
Réfléchis un peu.

avatar Alberto8 | 

Tiens qu’est-ce que je disais déjà dans un autre post ...🤔🤫🤭😏.

avatar UraniumB | 

@Alberto8

Beau dégradé !

avatar noooty | 

Google risque de perdre un gros client avec des annonces de ce genre...

avatar bibi81 | 

Google risque de perdre un gros client avec des annonces de ce genre...

Le client c'est celui qui fait le chèque, pas celui qui le reçoit ;)

avatar p@t72 | 

il est évident que la pomme allait tirer la tronche!
rendez vous compte,un autre boutique trouve des failles,que elle même n’est pas capable de trouver.

avatar mjuaneda | 

@p@t72

Visiblement, Apple n’a pas eu besoin de Google...

« Lorsque Google nous a approchés, nous étions déjà en train d'apporter des correctifs ».

avatar bibi81 | 

Ils peuvent dire ce qu'ils peuvent chez Apple personne ne peut le vérifier (c'est l'avantage de ne pas ouvrir le code source, on peut baratiner tout le monde)...

avatar Sgt. Pepper | 

@bibi81

Tu vas tomber de haut : idem chez Android.
Les devs de nouvelles fonctions sont souvent privées
https://source.android.com/setup/start/faqs#why-are-parts-of-android-dev...

(Sans parler du gros morceau « Play services « complément privée )

avatar bibi81 | 

Tu vas tomber de haut : idem chez Android.
Les devs de nouvelles fonctions sont souvent privées

Par définition les nouvelles fonctions sont privées avant d'être rendues publiques. Moi je parle de la correction des failles dans le code existant !

avatar Sgt. Pepper | 

@bibi81

Tant qu’il n’y a pas eu de commit, le Dev est privée .
Pas moyen de savoir quand il a commencé ...
Open source ou pas 🤷‍♂️

avatar bibi81 | 

Tant qu’il n’y a pas eu de commit, le Dev est privée .
Pas moyen de savoir quand il a commencé ...
Open source ou pas 🤷‍♂️

Ben oui mais quand on dit que le bug est corrigé cela veut dire qu'il y a un commit qui en atteste ;)

avatar flagos | 

Ils connaissaient peut être les bugs, ils ne savaient certainement pas qu'ils étaient exploitées.

Un backlog remplis de failles, c'est pas ce qui manque. Ça ne veut pas dire que les failles auraient été corrigés a court terme.

avatar p@t72 | 

Discours apple....
D'ailleurs n'importe quelle entreprise ferais la même chose !

avatar byte_order | 

@mjuaneda
> Visiblement, Apple n’a pas eu besoin de Google...
> « Lorsque Google nous a approchés, nous étions déjà en train d'apporter des correctifs ».

Visiblement, Apple a oublié qu'elle a cité les auteurs des 2 rapports de vulnérabilités qu'elle a corrigé dans iOS 12.1.4:

https://support.apple.com/en-us/HT209520

----
CVE-2019-7286: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero

CVE-2019-7287: an anonymous researcher, Clement Lecigne of Google Threat Analysis Group, Ian Beer of Google Project Zero, and Samuel Groß of Google Project Zero
----

Elle donne crédit à autrui à des choses qu'elle aurait elle même trouvé toute seule, avant !?

Attention, les communications à la presse ne sont pas rédigées par des ingénieurs en informatique expert en sécurité logicielle mais pas des experts en communication.

Cela constitue un indice et un indicateur sur la distance qu'il faut savoir prendre en les lisant.

avatar nemrod | 

@p@t72 |,

Tu sais lire ? Raisonner ?

avatar fifounet | 

@nemrod

"Tu sais lire ? Raisonner ?"

Ça tu peux oublier 🤡

avatar p@t72 | 

Ah bozzo comment tu vas ?

avatar byte_order | 

@nemrod

> Tu sais lire ? Raisonner ?

Et vous ?

https://support.apple.com/en-us/HT209520

Comment expliquez vous qu'Apple cite les auteurs, membres de Project Zero, des rapports de vulnérabilité en question qu'elle a corrigé dans iOS 12.1.4 alors que dans son communiqué de presse elle affirme désormais qu'elle était déjà au courant, et donc n'aurait eu aucun crédit à donner à autrui pour leur correction ?

Qu'est-ce qui vous parait le plus probable, à la lumière de cette contradiction ?

avatar Chris_on_the_roof | 

@p@t72

"rendez vous compte,un autre boutique trouve des failles,que elle même n’est pas capable de trouver."

Tu as dû lire l’article en diagonale alors...

avatar macfredx | 

@Chris_on_the_roof (et les autres) :

Don't feed the troll...

avatar Chris_on_the_roof | 

@macfredx

"Don't feed the troll..."

Oui, bien sûr 😉 Facile de trouver des trolls quand on en a besoin 😂

avatar p@t72 | 

Tu as seulement lu l'article d'igeneration et le communiqué de presse d'apple !?

avatar Chris_on_the_roof | 

@p@t72

"Tu as seulement lu l'article d'igeneration et le communiqué de presse d'apple !?"

Désolé, tu as la science infuse... 🤭 mince, je savais pas 🤨

avatar p@t72 | 

Chris on the...
La seul chose que je sais infuser c'est le 🍵 💋
Après si tu sais pas grand chose ce n'est pas de ma faute!

avatar Elkaar | 

Pour l'un comme l'autre c'est du marketing ...

avatar Lemon19 | 

@Elkaar

Exactement.
L’objectif de Google est de montrer que le marketing d’Apple sur la sécurité est surfait. Et c’est réussi.

avatar Depret Lucas | 

@Lemon19

Apple est mieux en sécurité ;)

avatar Godverdomme | 

Oui c'est dit dans la publicité, comme Monsieur Propre si fait briller la cuisine, et Dash qui lave plus blanc que blanc.

Si c'est dit a la télé, c'est que c'est vrai

avatar p@t72 | 

@Godverdomme
Nan c'est omo !.... 😉

avatar p@t72 | 

👍

avatar Levrai | 

Vaut mieux mentir à ses clients en leurs faisant croire qu'ils vivent dans un monde bisounours...

avatar Depret Lucas | 

@Levrai

Hein ???

avatar pagaupa | 

Google, le médiapart d’Apple? 😂😂😂

avatar carabat | 

De la part d'Apple, cela faisait longtemps que je n'avais pas lu des arguments aussi moisis. Si Apple prenait VRAIMENT la sécurité au sérieux, plutôt que de se retrancher derrière un bla-bla marketing, elle n'en serait pas là.

avatar Sgt. Pepper | 

@carabat

10 jours pour corriger des failles sur des millions d’appareils : c’est du super sérieux 👌

Chez Google, 6 mois ne suffisent pas pour corriger certains failles.
Sans parler du déploiement catastrophique des patch ms
https://www.zdnet.fr/actualites/une-nouvelle-faille-zero-day-divulguee-d...

Pages

CONNEXION UTILISATEUR