Une faille iOS a été exploitée pour viser des membres du gouvernement américain
Un peu plus tôt dans l'année, une faille iOS a permis à un groupe de hackeurs de récupérer des données sensibles de membres du gouvernement américain. Révélée par les chercheurs en sécurité de Google, cette faille CVE-2021-1879 était « zero day », c'est-à-dire qu'Apple n'en avait pas connaissance au moment de son utilisation.
Les cibles de l'Agence des États‑Unis pour le développement international recevaient par email un lien qui, quand elles cliquaient dessus, les menait sur un site web capable d'installer du code frauduleux sur leurs iPhone. Les hackeurs ont ainsi pu récupérer les cookies d'authentification de divers sites comme Facebook, Google, Microsoft, LinkedIn ou encore Yahoo. Pour que cela fonctionne, la victime devait avoir une session ouverte sur ces sites afin que les cookies de Safari soient exfiltrés. Cette faille a été réglée par Apple avec la sortie d'iOS 14.4.2 en urgence. D'après les chercheurs, cette attaque a aussi touché les utilisateurs de Windows.
Le groupe de hackeurs travaillait probablement pour le Service des renseignements extérieurs de Russie. Les chercheurs de Google notent que les failles « zero day » sont de plus en plus nombreuses. Ils ont compté 33 attaques de ce type dans la première partie de l'année : c'est 11 de plus que l'année dernière. Cette augmentation est liée à une meilleure détection de ce type d’action, mais aussi à l'augmentation de la vente de faille par des entreprises privées. « Les groupes [de hackeurs] n'ont plus besoin de disposer d'une expertise technique, mais simplement de ressources », notent les experts.
Je sais que le CSS a des allures de virus malintentionné à l'égard des développeurs, mais je ne sais pas si j'aurais choisi ce langage comme illustration d'un article de cybersécurité ! 😃
@minipapy
C’est malveillant uniquement pour les développeurs backend, ils sont du côté obscur ! Les développeurs frontend sont du côté lumineux.
@Jeckill13
Effectivement, c’est un virus discriminatoire.
Mais est-ce qu’un développeur frontend peut sérieusement être considéré comme un dév ? Je ne pense pas. Ça utilise un nouveau framework JS tous les matins pour faire genre, mais ça va pas beaucoup plus loin. 😜
@minipapy
😂🙌
@minipapy
😆
@minipapy
Heureux ? Tu as eu ton moment de gloire avec ton css? Sinon tu cherche quoi à opposé frontend ou back . Ou à dénigré le js? L'info c'est pas une religion .
@morpheusz63
Tu t'énerves pour un simple trait d'humour ? Je vais partir du principe, que tu as eu une mauvaise journée. 😉
@minipapy
« Je vais partir du principe, que tu as eu une mauvaise journée. 😉 »
Ah, non, il est toujours comme ça :D
Mais peut-être qu’il passe que des mauvaises journées…
@Bigdidou
On va lui souhaiter de rapidement trouver le bonheur alors.
@minipapy
Je suppose qu’il a sans doute dû faire du CSS pour un obscur intranet qui tourne encore sur IE6 pour une sombre histoire d’activeX…
@ minipapy
Bravo pour les attaques personnelles en guise de réponse.
De plus, fallait le savoir que c'était de l'humour, l'emoji que vous avez utilisé ne le montrant pas clairement.
Mais c'est sûr, s'excuser... oh là là, surtout pas !
@marc_os
Présenter des excuses pour avoir fait une blague sur un langage informatique ? Non, clairement pas. Je n’ai pas à gérer ton égo et ta susceptibilité.
Triste monde où même un humour sans insultes et sans grossièretés arrive à mettre des gens en colère.
Libre à toi de me masquer, je m’arrête là.
@minipapy
C’est parce que c’est un hacker de nuit et webdesigner de jour 😄
D’où l’intérêt d’utiliser le mode « navigation privée » pour aller sur un genre de site un peu douteux. Vous voyez le genre dont je parles ? 🤓
On peux espérer qu’il ne leur ai pas possible de récupérer les cookies des autres sites dans ce mode…
Et ben ouais Apple, si tu payes pas pour les bugs d'autres les monnayent très bien...
Je n'ose imaginer la passoire que serait iOS sans les équipes de chercheurs en sécurité de Google...
9 failles sur 10 sont trouvées par cette équipe.
Quand est-ce qu' Apple prendra en considération l'importance de la sécurité et investira enfin à la hauteur des enjeux en recrutant ses propres équipes de chercheurs??? 🤔
@r e m y
Émettons une hypothèse: Serait il envisageable que les chercheurs de Google aient intérêt à rendre publiques les failles trouvées dans les produits de leur concurrent, et qu'à l'inverse, les chercheurs d'Apple -s'ils existent- aient intérêt à corriger celles qu'ils trouvent sans jamais communiquer dessus, ou en tous cas le moins possible?
Cela semble-t'il plausible?
@f3nr1l
"Cela semble-t'il plausible?"
Non.
Pas si l’on suit le mode de fonctionnement de ces équipes.
Pas si l’on analyse l’évolution historique de ces failles et des circonstances qui les rendent publiques.
En dernier lieu, pas si l’on considère attentivement les divergences entre les modèles de business d’Apple et de Google.
@occam
Les failles trouvées par Apple sont, soit non documentées comme le fait IBM également, soit documentées après que leur correction soit largement déployée. Ce qui fait forcément moins de bruit…
@occam
Pardon, mais votre réponse me laisse sur ma faim. A quelle conclusion arrivez-vous après avoir suivi le mode de fonctionnement des équipes, analysé l'évolution historique de ces failles, et considéré attentivement les divergences de business model?
PS: Ce n'est pas un sarcasme.
PPS: "Cela ne semble pas plausible" n'est pas la réponse que j'espère 😜
@f3nr1l
« Serait il envisageable que les chercheurs de Google aient intérêt à rendre publiques les failles trouvées dans les produits de leur concurrent, »
L’affaire de l’an dernier sur l’espionnage chinois des journalistes pro-Ouïgours, montre que les chercheurs de Google ont d’abord communiqués sur les failles iOS. Il a fallut attendre deux ou trois jours pour d’autres révélations montrant l’ampleur de l’opération chinoise sous Android et Windows.
Google n’a pas caché les problèmes sous Android, juste retardé un peu leurs divulgations, de sorte que la presse parle essentiellement de l’espionnage chinois des iPhones.
@r e m y
"Quand est-ce qu' Apple prendra en considération l'importance de la sécurité et investira enfin à la hauteur des enjeux en recrutant ses propres équipes de chercheurs???"
Quand ce sera un critère décisif d’achat/non-achat pour une proportion suffisamment large de sa clientèle.
C’est pas demain la veille.
Tant que les enjeux seront asymétriques — risques pour les clients, bénéfices pour Apple — l’entreprise n’aura aucune motivation à investir, ou à s’investir.
Tant que de telles failles ne nuiront pas de façon cuisante à la réputation de la marque (et l’expérience montre que les fidèles lui sont acquis mordicus), il n’en suivra aucune pénalité à ne pas s’en soucier.
Bon, la faille c’est aussi la stupidité des gens qui en 2021 n’ont toujours pas compris qu’on ne clique pas sur un lien inconnu, ça bosse pour le Gouvernement et il n’y a pas de formation de base sur l’hygiène et la cybersécurité ?
« Les cibles (…) recevaient par email un lien qui, quand elles cliquaient dessus, les menaient sur un site web capable d'installer du code frauduleux sur leurs iPhone. »
Et si c’est Facebook et LinkedIn ça va, ce n’est pas la base de données de la CIA, mais c’est sûr que c’est très chiant quand même (surtout pour Google s’il y a Gmail…).
« Les hackeurs ont ainsi pu récupérer les cookies d'authentification de divers sites comme Facebook, Google, Microsoft, LinkedIn ou encore Yahoo. »
Tiens....
Bin vla...
En fait les utilisateurs Mac os sont aussi cons que sur Windows 😂
Je suis rassuré !
iOS une passoire niveau sécurité et dire que tous les fanboys de sentent en sécurité avec face ID qui ne sert à pas grand chose à part cacher la merde au chat ! Encore un bel exemple qui prouve que le fanboys vivent dans un monde de Bisounours! C'est bientôt l'heure du serment... https://youtu.be/t0MIFA3QZA4 😭
@Levrai:
"Cacher la merde au chat"... Tient une expression que je ne connaissais pas... ;)
Je retourne faire popo dans ma caisse... :)
Y’en a qui consultent des site porno chelous
Ce sont les Danois qui doivent être embêtés…
Le gouvernement ricain voudrait que les iPhones soient moins bien sécurisé…
Mais quand on découvre des failles dans iOS on constate qu’elles ont servi à espionner le gouvernement ricain…
Une certaine forme de justice immanente non ?
Ah. Mince. Ce genre d'affaires expose un peu plus le ridicule de l'argument comme quoi "l'iPhone est très sécurisé car l'App Store est le canal de distribution unique pour l'installation d'applications", défendu avec acharnement par Apple, ainsi que par certain(e)s inconditionnel(le)s de la marque sur le Net.
Et, d'ailleurs, même chose pour l'argument comme quoi le fait que le moteur de rendu de Safari soit le seul autorisé sur iOS permet une meilleure sécurité.
Encore un coup de Russes 😂 décidément sont-ils les meilleurs hackers ou les US sont moins bons ?
La NSA devrait employer des Russes 😂
@tolbach
Oui c’est une longue histoire le hack en Russie… voir culturel depuis les années 80. Tout le monde piratait les lignes téléphone pour ne pas être écouté ou écouter les écouteurs… et puis pour capter les émissions occidentales… puis les VHS, puis les CD puis les programmes etc etc.
Toutes les familles aujourd’hui possèdent au moins un hacker très chevronné !
Session ouverte pour récupérer les cookies de safari ? c’est pas clair, sur mon iPhone, quand je vais sur un service de MS ou de Google c’est via une app et pas via safari. Si j’avais Facebook sur mon iPhone j’irais via l’app et pas via Safari. Ou alors les app dédiées de Google MS ou Facebook s’appuient elles sur Safari pour fonctionner ?