Des chercheurs en sécurité pas fans de l'iPhone SRD
Apple a trouvé le moyen de s'aliéner une partie de la communauté des chercheurs en sécurité informatique en lançant son iPhone SRD, un smartphone qui est pourtant dédié à la chasse aux vulnérabilités. L'appareil fait sauter les barrières sécuritaires d'iOS, ce qui coupe l'herbe sous le pied aux iPhone « dev-fused » qui circulent sous le manteau et qui permettent aux hackers de jeter un œil dans les entrailles d'iOS (lire : Ces prototypes d'iPhone vendus aux hackers spécialisés en sécurité).
no researchers or engineers on our end are participating (in an official/Guardian-affiliated capacity) due to the restriction Apple appears to impose on information disclosure.
— Will Strafach (@chronic) July 22, 2020
hope to see that re-thought at some point. https://t.co/ikiUyAle1E
Mais le programme Security Research Device d'Apple contient des restrictions qui désespèrent plusieurs grands noms du domaine, comme Will Strafach (patron de l'app Guardian), les chercheurs de ZecOps, Axi0mX à qui l'on doit la trouvaille Checkm8, ou encore l'équipe Project Zero qui compte de nombreux forts en thème travaillant chez Google. Ces chercheurs ont annoncé qu'ils ne solliciteraient pas Apple pour obtenir un iPhone SRD, en raison notamment d'une modalité du programme.
ZecOps will not use the "dedicated research device" released by @Apple due to the program's restrictions and minimal benefits. We will continue to report bugs to Apple because it's the right thing to do.
— ZecOps (@ZecOps) July 22, 2020
Instead of releasing dedicated research device we encourage Apple to ...
Si un chercheur prévient Apple de la découverte d'une faille grâce à cet appareil spécial, le constructeur lui indiquera la date de publication à laquelle il pourra dévoiler la vulnérabilité au grand jour. Cette date correspond généralement au jour où une mise à jour iOS est mise à disposition. « Apple travaillera de bonne foi pour corriger la faille aussi rapidement que possible. Jusqu'à la date de publication, vous ne pourrez pas discuter de la vulnérabilité avec d'autres », peut-on encore lire sur le site d'Apple.
It looks like we won't be able to use the Apple "Security Research Device" due to the vulnerability disclosure restrictions, which seem specifically designed to exclude Project Zero and other researchers who use a 90 day policy.
— Ben Hawkes (@benhawkes) July 22, 2020
Pour Ben Hawkes du Project Zero, cette restriction semble viser spécifiquement son équipe qui a l'habitude de dévoiler ses failles 90 jours après leur découverte. Un délai largement partagé dans le petit monde des chercheurs en sécurité. Ce qui est reproché ici c'est qu'Apple garde le contrôle du processus de divulgation de la vulnérabilité (difficile de se départir d'une culture de la centralisation ancrée depuis toujours chez Apple).
La crainte est que le constructeur abuse de cette modalité pour retarder la sortie de correctifs ou qu'il empêche la publication des travaux des chercheurs. Apple a fait un pas important avec l'iPhone SRD, mais la Pomme va devoir aussi faire la preuve de sa bonne volonté.
En même temps dévoiler une faille avant qu'elle ne soit corrigé c'est quand même bof.
@fousfous
Moi aussi je trouve ça détestable mais en même temps si ça fait bouger l’arrière train d’APPLE…
@fousfous
C’est souvent fait dans le but de forcer les éditeurs à proposer un correctif et donc de rendre les softs moins vulnérables.
@fousfous
Ça force Apple à se bouger pour combler ces failles.
Dites-vous bien que si ces failles sont trouvées par ces chercheurs en sécurité, elles le sont probablement également par ceux qui cherchent des failles pour les exploiter.
On a donc intérêt à ce que la pression soit maintenue pour qu'elles soient corrigées le plus vite possible, plutôt que quand ils auront un peu de temps, entre 2 dessins d'emojis.
@r e m y
Exactement !
@r e m y
En même temps ce sont des failles pas facile d'accès comme il faut un iPhone spécial.
Ça peut donc prendre du temps à corriger et elles ont aussi moins de chances d'être exploitées, en tout cas moins que de révéler la faille alors qu'elle n'est pas encore bouchée.
@fousfous
Pas du tout! Comment croyez-vous qu'ils travaillent jusqu'à présent pour trouver les failles d'iOS? (Et ils vont visiblement continuer à le faire sans ces iPhones officiellement , et donc légalement, jailbreakés)
@r e m y
Pas certain que ce soient les mêmes qui développent et qui dessinent, mais j’ai compris l’idée sous-jacente.
Ceci-dit Sir Jony Ive (bon sang j’en oublierais déjà son nom) n’est plus « chez » Apple pour superviser tout cela. 😂
@fousfous
En même temps dévoiler une faille avant qu'elle ne soit corrigé c'est quand même bof.
Apple, si tu les menace pas de révéler une faille, ils la corrigent pas.
@Ali Ibn Bachir Le Gros
Si si Apple corrige bien les failles avant qu'elles ne soient divulguées, suffit de voir les articles qui passe ici.
Les chercheurs continuerons comme ils ont toujours fait depuis littéralement des décennies : avertir Apple puis divulguer la faille 90 jours après.
Si ça passe comme ça c’est pas pour rien :
- il y a des tonnes de cas dans l’histoire où les failles sont ignorées : une faille que personne ne connaît ça fait pas perdre d’argent à un développeur donc ça ne sera jamais prioritaire.
- 90 jours, soit trois mois, c’est très largement suffisant pour aménager le planning de développement si besoin puis corriger la faille. Dans une immense majorité des cas, boucher une faille documentée correctement c’est 1 à 2 jours de boulot.
Il n’y a aucune excuse technique ou organisationnelle pour laisser consciemment ouverte une faille que l’on connaît pendant 3 mois. Sauf si on en a rien à faire ou si la correction n’est pas prioritaire. Auquel cas soit la faille n’est pas grave et donc sa divulgation non plus, soit la faille est grave et ça revient à faire un immense doigt d’honneur à ses utilisateurs : « on a préféré rajouter un super widget mail plutôt que de boucher la faille qui permet à des pirates de lire vos emails ».
Ces « chercheurs » en sécurité —comprendre des hackers professionnels— ont plus une mentalité de chasseurs de prime, dead or alive $$$
@Cactaceae
Tout travail mérite salaire. Et c’est pas Apple qui va dire le contraire 💁
@DrStax
Oh mais bien sûr. Je suis perceur de coffre professionnel, pensez-vous que je vais m’amuser à percer un coffre vide 😐
Ou dans le même ordre d’esprit, un peu comme si on publiait les faiblesses d’une chambre forte utilisée par certaines banques, en mettant le mode d’emploi pour arriver à la forcer en prime.
Si tu donnes les instructions à une banque qui permettent d’ouvrir un coffre sans clé ni sans être pris, mais qu’elle ignore tes avertissements, c’est en fait rendre un service aux clients de la banque que de menacer de publier le mode d’emploi : c’est parfois le seul et unique moyen pour que la réparation soit faite.
Sinon dans une majorité de cas la banque va mettre ça dans une liste des « choses à faire un jour » et ne le fera jamais. Pour rappel la banque sait qu’une personne a le mode d’emploi mais elle ne sait pas si d’autres personnes plus mal intentionnées l’ont aussi découvert.
@pocketjpaul
Je suis bien d’accord sur la majorité des points. Mais il me semble que c’est à la banque de donner les délais qui lui faudra pour corriger cette faille. Quelque soit le délai, 30, 90 jours ou 3 ans (j’exagère évidemment), celui n’est peut-être pas le bon et ce n’est pas au perceur de coffre de donner le délai.
En dévoilant une faille qui n’est pas réparée je trouve que c’est assassin et criminel.
Et puis ce délai de 90 jours… mais pourquoi ? Pourquoi pas 30 ? Pourquoi pas 120 ?
C’est un sujet très borderline à la limite de la moralité et du gangstérisme.
@Cactaceae
« C’est un sujet très borderline à la limite de la moralité et du gangstérisme. »
Je remplacerais moralité par éthique, mais oui, on est vraiment sur une crête.
Il est de toute façon très malsain que notre sécurité à tous soit aux mains d’une élite, parfois anonyme, hors de tout contrôle institutionnel et tout aussi malsain que les règles soit uniquement définies par les acteurs de cette sécurité (et encore plus si c’est uniquement par un seul des acteurs qui impose sa loi) sans supervision externe.
@Bigdidou
Des règles définies par les acteurs de l'activité elle-même, c'est ce qu'on appelle de tous temps, les "règles de l'art"
Ce sont des règles établies au fil du temps par les acteurs eux-mêmes et qui ont pris force de loi (un juge peut s'y référer en cas de litige ou accident...)
Cette "règle" des 90 jours est un standard communément admis dans ce domaine des failles de sécurité.
@r e m y
« Des règles définies par les acteurs de l'activité elle-même, c'est ce qu'on appelle de tous temps, les "règles de l'art" »
Très bien.
Sauf que ça fonctionne quand il y a une sanction derrière : le gâteau est dégueulasse où il provoque une intoxication monstrueuse, l’immeuble s’écroule, il y a des complications post-opératoires.
A part les psychanalyse dont on connaît le peu de goût pour le contrôle externe ou l’évaluation, je connais peu de domaines d’activité qui prétendent obéir « à des règles de l’art » auto-définies alors qu’il n’existe aucune sanction derrière si ces règles ne sont pas respectées ou pas adaptées.
@Bigdidou
Je pense que dans ce domaine des failles de sécurité il peut y avoir sanction si les "règles de l'art" ne sont pas respectées.
Si un chercheur en sécurité révèle publiquement une faille dès qu'il la découvre, sans avoir respecté les "règles" d'information préalable du développeur devant combler la faille ou sans respecter le délai annoncé, il risque de voir une plainte déposée contre lui.
@Bigdidou
"Je remplacerais moralité par éthique, mais oui, on est vraiment sur une crête."
Complètement d’accord 👌 Éthique, qui se rapporte à la morale 😊 une ligne de déontologie.
Parce que ce qui compte ce n'est pas le délai en lui même mais l'ordre de grandeur de ce délai.
Si trouver une faille est extrêmement difficile, la colmater est généralement une affaire de quelques heures si c'est fait salement (et encore), 2 ou 3 jours si c'est très sérieux.
Du coup 90 jours c'est un ordre de grandeur 90x plus grand que nécessaire. Je ne sais pas si tu es dans le milieu du dev mais c'est extrêmement large.
Si n'importe quelle entreprise te répond le plus sérieusement du monde qu'elle en a pour 100 jours à colmater une faille, c'est que tu n'as pas affaire à une faille de sécurité mais à un problème architectural majeur. Mais ce genre de situations sont extrêmement rares et d'une grande gravité parce que ça implique alors tout l'équipe derrière le produit sans aucune exception est complice.
Pour donner un parallèle plus adapté, c'est comme si tu signalais au constructeur d'un immeuble de haute sécurité qu'une serrure est mal vissée et qu'un tournevis suffit à ouvrir une porte. C'est un problème grave, mais la solution est rapide, même si tu dois revisser les portes de tous les étages, c'est ta responsabilité de le faire vite. 90 jours c'est raisonnablement large.
Un problème architectural c'est si cet immeuble de haute sécurité a été construit en bois et qu'on te signale qu'on peut rentrer dedans avec un coup de meuleuse dans n'importe quel mur. C'est sûr que 90 jours ne suffiront pas. Et la situation est grave parce que des centaines de personnes ont travaillé sur ce projet pendant des années : impossible que personne n'aie relevé le problème du bois. Donc il y a complicité.
Mais prévenir les occupants de l'immeuble qu'ils ne sont pas en sécurité reste primordial. Tant pis si ils doivent déménager.
@pocketjpaul
« Du coup 90 jours c'est un ordre de grandeur 90x plus grand que nécessaire. Je ne sais pas si tu es dans le milieu du dev mais c'est extrêmement large. »
J’entends bien, et ça n’est pas l’objet de mon inquiétude ;)
@Bigdidou
@pocketjpaul
Pas vraiment la mienne non plus mais c’est la raison pour laquelle les dit chercheurs n’ont pas voulu de l’iPhone SRD : le délai de rétention de la faille imposé par Apple il me semble si j’ai tout bien compris.
Et à la lecture de vos commentaires nourris je ne comprends pas effectivement pourquoi Apple ne s’engage pas à résoudre toute faille trouvée dans le délai —astronomique— des 90j 🤷🏻♀️
@pocketjpaul
Merci pour cette réponse largement étayée 😊
@pocketjpaul
"Je ne sais pas si tu es dans le milieu du dev mais c'est extrêmement large."
Niveau Petit Scarabée 😊
Apple a quand meme cette capacité de ne jamais rien lacher sur quasiment aucun sujet
Mais vraiment jamais
@raoolito
C'est vrai qu'ils devraient lâcher sur la sécurité, faire comme Microsoft, ça les a pas empêché d'avoir un monopole et ça coûte moins chère...
@fousfous
Steve a laisse aussi sa paranoïa en héritage
Ces White Hat ont totalement raison et le délai de 90 jours est raisonnable d’un côté comme de l’autre.
En même temps ça se comprend quand tu vois la faille Checkm8, autant éviter que des gens malhonnetes en profitent quitte à la mettre sous silence si aucun fix n’est possible.
@Ginger bread
C'est faire l'autruche en se mettant la tête dans le sable!
Si un chercheur a trouvé la faille, il est tout à fait possible (voire probable) que d'autres chercheurs, ayant des objectifs beaucoup moins honnêtes, l'aient trouvée également.
@r e m y
Je ne dis pas le contraire, encore faut il que quelqu un d autre la trouve aussi.
Mais dans l intérêt de tout le monde pour la sécurité mieux vaut laisser le temps à Apple de combler cela pour la génération suivante si il n’est pas possible de colmater cela logiciellement.
Faire l autruche, j’appelle ça jouer la sécurité envers le plus grand nombre.
Le problème, c'est que les failles et les bugs fix ne sont jamais considérés comme prioritaires. Ça va toujours passer après un bouton a la noix avec un effet wahou ou pour un nouvel emoji trop amazing.
Donc le seul moyen de les forcer a patcher si ça n'a pas été résolu en un temps acceptable, c'est de balancer sur la place publique. C'est triste mais c'est comme ça.
@flagos
Est ce si important que le problème soit corrigé en 90 jours uniquement?
Parfois il faut juste peut être un peu de souplesse, faut aussi être compréhensif.
Apple par exemple, Apple a donné le temps aux développeurs pour faire passer les apps en 64 bits.
Personnellement je comprends le point de vue d Apple.
Le but ultime est de faire remonter les failles et de leur donner le temps de capitaliser sur ces pbs et de les corriger.
Exemple: Microsoft a capitalisé sur tous ces bugs et failles et a visiblement développé un outil pour identifier d’autres potentiels bugs/failles à corriger qu ils peuvent identifier par eux mêmes
@Ginger bread
On peut en débattre, mais s’agissant de sécurité informatique, il est plutôt sain d’avoir une limite claire. Après la plupart des chercheurs sont responsables et si l’entreprise ou l’organisme fait preuve de réactivité et a une raison légitime de demander un délai, c’est souvent respecté.
Il ne faut pas perdre de vue que ces failles découvertes ont pu déjà l’être par d’autres...
@Ginger bread
Sans délai, ils leur faut 24 mois pour colmater une faille (et encore), avec un délai de 90j il leur faut 90j, avec une divulgation publique ils leur faut 24h.
Corriger des failles est tjrs la dernière priorité car ça ne rapporte rien, que de soit chez Apple ou n'importe qui d'autre. C'est ainsi.
@r e m y
Vivons heureux vivons cachés 😬