Apple a corrigé une faille connue avec iOS 15.0.2

Nicolas Furno |

Apple a discrètement corrigé deux failles de sécurité connues avec iOS 15.0.2. Elles étaient connues, car le chercheur en sécurité Denis Tokarev qui avait la main dessus avait fini par lever le voile sur leur existence face au silence d’Apple, qui n’a pas réagi pendant des mois après avoir reçu ses informations.

Apple traine toujours autant des pieds pour récompenser les chercheurs en sécurité

Apple traine toujours autant des pieds pour récompenser les chercheurs en sécurité

Dans la foulée, Apple avait fini par donner un signe de vie, nouvelle preuve s’il en fallait que diffuser les informations auprès de la presse fonctionne pour motiver l’entreprise. La correction est finalement arrivée avec iOS 15.0.2, sortie dans la semaine, mais même alors, Apple n’a pas fait ce qu’il fallait. La firme de Cupertino avait alors prévenu qu’une faille de sécurité activement exploitée avait été corrigée par cette mise à jour, ce qui soulignait son importance, mais sans créditer l’auteur de la découverte.

iOS 15.0.2 bouche une faille qui a pu être exploitée

iOS 15.0.2 bouche une faille qui a pu être exploitée

Comme il l’a indiqué sur Twitter le jour même, il s’agissait de l’une des failles dans iOS 15 qu’il a trouvées plus tôt cette année. La tradition veut que le chercheur en sécurité qui a remonté en premier l’information soit alors remercié — et normalement payé dans le cadre d’un programme de « bug bounty » —, mais cela n’a pas été le cas. Outre cette plainte publique, il a envoyé un mail à Apple, qui a répondu avec des informations confidentielles. Denis Tokarev n’a pas souhaité révéler leur contenu à ce stade, peut-être parce que le constructeur a promis de le nommer pour ses découvertes.

Capture du tweet de Denis Tokarev.

Quoi qu’il en soit, il reste encore deux failles de sécurité actives dans iOS 15, sur les quatre qu’il a signalées à Apple depuis le début de l’année. Au-delà du traitement peu cavalier réservé à ce chercheur en sécurité, ce sont tous les utilisateurs d’iPhone et iPad qui sont potentiellement mis en danger par le manque de sérieux de l’entreprise.


avatar Amaczing | 

Vivre de bug et d’eau fraîche est le commun des chercheurs en sécurité c’est bien connu. Apple devrait lui offrir une pomme c’est plus nourrissant.

Merci M’ssieur le chercheur ! Au moins iOS aura moins de vers 🐛 qu’ici !

avatar 0MiguelAnge0 | 

@Amaczing

Avec ce genre de commentaires débiles, je lui conseillerais d’aller vendre à des boîtes qui utilisent ces failles au lieu de perdre du temps avec et pour des abrutis.

avatar Cro_Arthur | 

C'est vraiment petit de la part d'Apple de ne pas financer les gens qui trouvent des failles de sécurtié dans leur OS.
C'est grâce a ces personnes que iOS est si sécurisé. J'espère que la prochaine fois, il s'en servira à profit, de quelconque manière. En déplaise aux utilisateurs iOS (dont je fais partie).
Au vu des bénéfices d' Apple, qu'est-ce que ca leur coute de lui faire un virement de 10 ou 15k$ ?

avatar Cro_Arthur | 

par contre ça ne leur pose aucun souci d'envoyer 10 Apple watch Alu ou 3 macbook Pro à des influenceurs. Alors que ces profuits resteront dans une étagère à prendre la poussière...

avatar Sometime | 

@Cro_Arthur

Indépendamment de ce point-ci, ils semblent faire preuve d’une inquiétante légèreté sur toute la ligne.

avatar pat3 | 

@Cro_Arthur

"Au vu des bénéfices d' Apple, qu'est-ce que ca leur coute de lui faire un virement de 10 ou 15k$ ?"

Des milliers de pseudo chercheurs qui réclameront une prime pour des millions de pseudo-failles de sécurité.

Faire l’autruche comme le fait Apple n’est pas une solution, mais ouvrir les vannes serait très vite problématique.

avatar MachuPicchu | 

Ce genre de comportement de la part d’Apple ne fait il pas fuir les chercheurs en sécurité, portant ainsi préjudice à la sécurité de ses plateformes?

avatar Sometime | 

Cela relève tout de même de pratiques en sécurité qui semblent vraiment déraisonnables et dangereuses. Un chercheur en sécurité signale plusieurs failles, certaines utilisées dans la nature, ne réagit pas plus vite, en bouche seulement certaines et en plus se permet un traitement cavalier en rupture avec les usages et bonnes pratiques dans le milieu.

avatar Aproz | 

C’est ici qu’il sied de se poser la question de la sécurité ou plutôt de la non sécurité d’IOS puisqu’apple, délibérément, ne patch pas. A moins qu’il y ait un scandal publique …

avatar Lu Canneberges | 

Je ne comprends vraiment pas l’attitude d’Apple depuis des années, il n’y a vraiment aucune raison de se comporter comme ça !

Quand on a des centaines de milliards en trésorerie, on peut bien lâcher des milliers et des millions pour chaque faille de sécurité signalée et au grand minimum CRÉDITER ceux et celles qui y travaillent sans relâche !

Et quoi de mieux pour avoir les systèmes les plus sûrs du monde que de s’assurer que la totalité des chercheurs et white hats se tournent vers Apple plutôt que vers des agences ou entreprises, états-uniennes et israéliennes ou pire, à trois lettres… et qu’ainsi il n’y ait plus de faille dans la nature ?! Si Apple payait immédiatement, sans barguigner et rubis sur l’ongle, chaque faille à un prix honnête, il n’y aurait pas de Pegasus sur iOS…

L’ingratitude et la mesquinerie d’Apple sont vraiment incompréhensibles et indéfendables… et l’argument de la sécurité en prend un coup, alors que justement on paye cher aussi pour s’assurer que le maximum soit fait de ce côté là !

Vivement que quelqu’un se réveille à Cupertino et sonne les cloches de l’exécutif… voire que ces chercheurs y trouvent enfin de hauts postes et surtout les responsabilités et les moyens de changer tout ça !

avatar Aproz | 

@Lu Canneberges

Ça rapporte peut être plus à Apple de vendre leur propres failles que de les boucher 🤪

avatar Patou1810 | 

Cela montre uniquement le visage de la pomme aujourd’hui. Le fric le fric le fric et le consommateur achète quand même avec ou sans problème.

avatar Aproz | 

@Patou1810

L’alternative ne fait guère rêver (Androïd). On a certes le choix, mais concrètement lequel ? Pas vraiment d’alternative du même niveau (je concède c’est subjectif).

C’est la même chose pour la validation des app dans le store, les validateurs ont très peu de temps pour tester / valider alors on retrouve aussi des applications arnaque …

Capitalisme. Rentabilité avant la qualité. L’humain gravite autour du capital. L’humain sert le capital dans le seul but de l’accroître …

avatar Patou1810 | 

@Aproz

Je suis d’accord avec toi, mais tu vois en ce moment je prends uniquement l’exemple du MacBook Pro 16 que j’ai, une configuration à 4500€ , je travaille pas mal sur FCPX. Je vois ma bécane qui rame à côté d’un Mac Mini à 700 balles cela me rend dingue et m’écœure en même temps. Je me dis le con dans l’histoire c’est moi, je reste naïf à des promesses qui n’existe plus chez Apple après comme tu dis la concurrence n’est pas meilleure mais le prix n’est pas le même non plus. Pourtant le premier gros enfumage était mon Mac Pro Late 2013 (la poubelle) j’ai sauté dessus pour l’acheter résultat des courses j’aurais du garder mon 5.1 et le faire évoluer…

avatar Aproz | 

@Patou1810

Alors pour les PC je suis tout à fait d’accord, Apple ne fais pas rêver et cela pour beaucoup de raisons aussi bien software que hardware.

Le hardware est particulièrement ridicule :
- pas d’écrans à haut taux de rafraîchissement
- absence de prises les plus courantes et indispensables, ports usb, HDMI, SD
- problèmes récurrents de refroidissement. Sur le MacBook Air le ventilateur n’est même pas connecté au système de refroidissement 🤣
- absence de rallonge dans la boîte pour le chargeur
- concertation générale piteuse, problème d’écrans, de claviers, autres …
- pour les fixes, le prix est juste ridicule

Le tout au prix dément.

Pour l’iPhone, la simplicité et la solidité sont des arguments qui ne me font pas passer chez Androïd qui te met de la publicité dans la face alors que t’as acheté un tel à mille balles …

avatar Patou1810 | 

@Aproz

Je parle Mac surtout, je viens de me faire plaisir il y a quelques jours avec le 13 venant du X et j’en suis très satisfait. Même si j’ai un petit bémol sur le sujet, changer chaque année pour moi le jeu n’en vaut pas la chandelle trop peu d’évolution d’une année à l’autre. Par contre sauter quelques générations là je retrouve un plaisir mais après cela n’engage que moi et chacun et libre de faire comme il veut… 😉

avatar raoolito | 

@Patou1810

" Le fric le fric le fric et le consommateur achète quand même avec ou sans problème."
Apple ne risque pas la faillite à payer tous les bug bounty.
C'est certainement autre chose, un truc de philosophie du secret avec on en sait pas quoi de com'...
Comme s'ils voulaient décourager les chercheurs...

avatar SyMich | 

Il n'y a aucune culture de la sécurité chez Apple. Ça a toujours été ainsi.

Il n'y a aucune équipe dédiée à la cyber sécurité. Pas plus pour chercher des failles (comme le Project 0 de Google), que pour les combler quand on leur en signale une.
Les failles sont traitées comme des bugs à corriger et intègrent les mêmes workflows. Elles prennent leur ticket comme les bugs et attendent leur tour pour être traitées.

avatar Insomnia | 

C’est simple et ça reste mon avis, si Apple rémunère trop, il y a aurait sûrement plus de chercheurs en sécurités qui effectuera des recherches pour trouver des failles et donc la possibilité de voir un iOS ou iPadOS avec beaucoup de faille et là difficile d’annoncer a tous que leur os est le plus sécurisé. Apres Apple est le seul à réagir rapidement pour combler dans la majorité des cas, mais dans ce cas Apple n’a pas respecté son engagement puisque cette faille existe depuis un moment et utilisé, il a fallut quand même que le chercheur le dévoile pour que Apple se bouge.

avatar SyMich | 

"Apres Apple est le seul à réagir rapidement pour combler dans la majorité des cas"

Désolée, mais Apple est surtout reconnu pour ne pas prendre la sécurité au sérieux et traiter les failles qui lui sont remontées de façon très légère.

avatar Insomnia | 

@SyMich

Certes mais ils finissent par le faire quand ils sont dos au mur, sur android je me,souviens pas avoir vu un seul le faire, peut être Google sur ces pixel .

avatar SyMich | 

Non sur Android, les failles sont comblées beaucoup plus vite et sans besoin que ça fasse les unes des sites spécialisés (d'autant que bcp de ces failles sont identifiées par les équipes dédiées de Google, comme le Project 0)

Ce qui pêche du côté d'Android, c'est la diffusion des correctifs sur l'ensemble du parc de smartphones utilisant Android, parc très hétéroclite par nature.

Pour ce qui est d'Apple, j'ajouterai que certaines failles ne sont jamais corrigées.

avatar Insomnia | 

@SyMich

Le soucis des patch sur android c’est à cause des co structuras chez xiaomi par exemple il les proposent tous les trois mois, treeble était prévu pour permettre d’installer les mises à jour plus rapidement, android one est abandonné et une catastrophe j’ai mon Mi A3 bloqué depuis septembre 2020 sans que xiaomi ne bouge le petit doigt pourtant la version global a été mise à jour mais pas la version européenne, bref c’est assez le fouillis 😅

avatar mapiolca | 

Comme dirait Phil Schiller : « iOS most secured my ass ! »

avatar powergeek | 

Bon je vais allumer la machine à complots. Peut-être que ces failles sont utilisées par les agences à 3 lettres américaines et qu'Apple a reçu l'ordre de ne pas les corriger tout de suite. Quand ils auront fini de les exploiter Apple pourra agir. Je dis ça je dis rien 👁

avatar marenostrum | 

c'est pas des failles dans ce cas mais des portes dérobées. ces chercheurs les embêtent en les trouvant toujours. ils réagissant lentement pour ça, ils ferment les portes détectées en créant d'autres.

avatar Konan2k | 

Étant toujours sous ios14, pourquoi n’ont-ils toujours pas déployé ce patch pour nous ? Ils nous avaient laissé le choix je crois, rester sous ios14 et recevoir les maj concernant la sécurité ou passer sous ios 15…

avatar SyMich | 

Parce que l'une des failles corrigées ici et qui concernait aussi iOS14, a déjà été corrigée dès iOS14.7
D'autres failles corrigées, sont spécifiques à iOS15

avatar p@t72 | 

Une vrai passoire cet os !!!

CONNEXION UTILISATEUR