Apple : mauvaise perdante avec Charlie Miller ?

Christophe Laporte |

Charlie Miller est furieux contre Apple, qui ne l'a pas ménagé depuis qu'il a dévoilé hier une faille permettant d'exécuter du code non signé sur un terminal iOS.

Non seulement, son application utilisée pour la démonstration, Instastock, a été retirée en un temps record de l'App Store, mais son compte développeur a été fermé sur le champ. Pire encore, il est suspendu du programme développeur iOS pendant une période d'un an, si l'on en croit ses dires.

La situation est d'autant plus cocasse, quand on sait que c'est Apple qui a mis ce compte à sa disposition pour qu'il puisse mener des tests. Miller, contrairement à d'autres chercheurs qui se sont vus offrir le même traitement, précise qu'il a payé son abonnement.

D'autre part, il révèle sur son compte Twitter qu'Instastock est disponible sur le Mac App Store depuis septembre. Le chercheur en sécurité a averti Apple de la faille qu'il exploite, il y a maintenant près de trois semaines, mais l'équipe de l'App Store n'a semble-t-il pas fait le lien avec l'application qu'il avait soumise.

Quoi qu’il en soit, Miller affirme être surpris par la brutalité de la réaction d'Apple. S’il s'attendait à ce qu'Instastock soit retiré de l'App Store, il ne pensait pas connaitre un tel traitement. Toutefois, le chercheur en sécurité estime qu'il ne pouvait pas s'y prendre autrement. S'il avait fait la démo de cette faille sans soumettre son application à l'App Store, les observateurs n'auraient pas pris ses travaux au sérieux arguant qu’une telle application n’aurait jamais été validée par les équipes d'Apple.

Tags
#sécurité
avatar smoooth | 
C'est vraiment pas cool d la part d'Apple.
avatar Titov | 
Je n'imagine pas que ce commentaire puisse ne pas être ironique. Si vous aviez un superette en ville avec un fournisseur de lessive qui a planqué une caméra vidéo dans ses produits, n'auriez-vous pas la même réaction ? Sortir le produit des rayons et dégager le fournisseur de vos sources d'appro ? Nan mais sans blague… Le comportement de Miller est pour le moins étonnant. Pourquoi n'attendre que 3 semaines avant de rendre la faille publique sinon pour augmenter sa petite notoriété ? Et cela aux dépens de tous les utilisateurs de l'AppStore… Et cela ne vaut pas seulement pour Apple, mais pour toutes les boites. Ne laisser que 3 semaines à une boite de la taille d'Apple et vu son nombre de clients, ce n'est pas très sérieux.
avatar winstonsmith | 
Sûrement un problème de communication interne. L'équipe, sans doute différente de celle qui a offert un compte à Charlie Miller, a vu un malware sur l'AppStore et a réagi immédiatement en "supprimant" son créateur. Ça ne rend pas le geste plus sympathique mais perso je préfère qu'un gars qui balance des malwares sur l'AppStore soit viré immédiatement du programme développeur, et qu'on regarde après qui c'était et pourquoi il a fait ça.
avatar drkiriko | 
@Rigat0n : +1
avatar kingpuco | 
@Rigat0n : +1 !
avatar nasgule | 
Eh oui, tel est pris qui croyait prendre.
avatar mansour | 
Je trouves la réaction d'Apple mesquine. N'a-t-elle pas invité cet expert pour qu'il teste justement son système ? Qu'en est-il exactement de cette invitation, car Miller dit avoir payé sa licence. Quand au fait que ce soit deux équipes qui ai géré l'invitation puis sa révocation, je veux bien le croire. Mais est-ce qu'ils n'ont pas un minimum d'info sur les "têtes pensantes" du milieu. Ce n'est pas comme si ce type était un dev' lambda ...
avatar jefrey | 
Apple avait dans doute demandé à Charlie Miller de travailler sur les failles, mais probablement pas en mettant un malware sur l'app store. Il y avait sûrement une autre méthode pour présenter cette faille ...
avatar aldayo | 
@oomu "apple n'aurait JAMAIS du valider une telle app ! sinon à quoi bon tout le bouzin?" C'est justement ca la faille !
avatar lamarmotte | 
Je suis d'accord avec ce que d'autres on dit ici. Apple ce n'est pas UN mec. Le ( ou les ) type responsable de la sécurité à réagi super vite en fermant les écoutilles sans avoir à connaitre qui est ce Charlie, et c'est très bien comme ça. Quand les choses se tasseront, nul doute que Charlie Miller retrouvera son compte pour continuer ses tests. A moins que Apple ne lui en ait voulu d'avoir dévoilé au public son coup avant d'en informer Apple d'abord ?
avatar kitetrip | 
Ah ! les vierges effarouchées volent au secours de Apple. MDR. C'est pas Apple qui a un système et une équipe pour justement éviter ce genre de problèmes ??? C'est pas la première fois qu'il y a des "fautes" de la part des équipes de validations car leur priorité c'est de veiller à ce que les iApps ne fassent pas concurrence ou ne permettent des actions gratuites qui seront dispo seulement sur le prochain iGadget en espèce sonnante et trébuchantes !!! Autre point, il y eu pas mal de débats, ici même, concernant LA LENTEUR des équipes Apple pour combler des failles de sécurités. Pour finir, le fin de l'article reflète la triste réalité. Il faut qu'un "accident" se produise pour que les mesures nécessaires soient prises.
avatar Apical-informatique | 
Comment peut on s'organiser pour exprimer notre soutien à ce brillant chercheur victime de la répression anti-chercheur brillant ?
avatar iCaramba | 
Apple et ses manches à burnes....
avatar Macaxo | 
"pas cool " de la part d'Apple ? Je ne les trouverais pas "cools" si je savais qu'ils laissent une telle app sur le store en toute connaissance de cause... Quant au traitement réservé au développeur, je pense que c'est une manière de lui dire : "tu as été irresponsable en diffusant ton app, ciao". Pour ceux qui ne supportent pas cela, n'hésitez pas à switcher et à vous régaler des écosystèmes concurrents et de leur côté ouvert.
avatar Abudah237 | 
mouais, moi aussi j'envoie des rapports de bugs à Apple (et je suis loin d'être le seul, mais lui non plus), je n'estime pas que ça me donne le droit de diffuser un malware. Ce mec a les chevilles qui ont un peu trop enflé à mon avis.
avatar mansour | 
Il ne faut pas tout confondre non plus. Personne ne dit ou ne croit que l'êquipe de validation a eu tord de retirer cette app. Il est parfaitement logique et justifié de le faire, celle-ci contrevenant aux règles mises en place. Miller en est tout aussi conscient lui aussi. Ce qui soulève des questions, c'est le fait que quelqu'un du staff Apple lui remette une invitation personnelle afin qu'il trouve des failles, et qu'une fois qu'il en trouve une et la mette en pratique il se fasse éjecter. Miller n'a pas lancé cette vidéo sans avertissement. Il a contacté l'équipe s'occupant de la sécurité chez Apple trois semaines avant de mettre la vidéo en ligne. Trois semaines je trouves que c'est largement suffisant pour retirer une app du store, surtout quand c'est un type que vous avez mandaté qui vous prévient.
avatar Abudah237 | 
Il diffuse en connaissance de cause une appli qui exploite une faille de sécurité, il se fait éjecter. C'est normal. Faut pas pousser.
avatar Moof | 
Comme d'habitude, certaines personnes ici n'ont aucune connaissance des coutumes dans le domaine de la sécurité informatique (voire de l'informatique en général) mais adorent ouvrir leur grande bouche. Dans tous les cas Apple va pouvoir bien vite changer son nom par "Gruyère" s'ils continuent à réserver ce genre de traitements aux personnes qui leur permettraient de sécuriser leur passoire.
avatar pl1997 | 
Voilà pourquoi on ne peut pas vraiment aimer Apple. Et tous ceux qui trouvent ça bien, sont bon pour vivre dans une dictature débile. Apple se comporte comme un robot sans âme et sans intelligence, le regard rivé sur la courbe du fric engrangé. Vivement un concurrent novateur, Apple devient gris.
avatar Abudah237 | 
"aimer" ? Faut pas pousser non plus, je ne vois pas le rapport, si tu éprouvve de l'amour (qui un mot très fort) pourr une société quelle qu'elle soit il y a un problème.
avatar winstonsmith | 
Ce dev a effectivement largement aidé Apple a corriger des failles par le passé, mais je pense qu'il n'avait peut-être pas besoin d'aller aussi loin. Et encore une fois je préfère qu'Apple tape un peu fort, puis discute après avec Charlie Miller. D'autant plus que si ils avaient pas ça on aurait eu dans l'actu "Apple refuse de supprimer l'auteur d'un virus pour iPhone de son programme de développeur", à tous les coups. Ça m'étonnerait pas qu'ils soient déjà en discussion avec Miller pour corriger la faille.
avatar Billytyper2 | 
Il y a quand même un problème éthique. Certes il a été invité par Apple pour trouver les failles. Ok il en a trouvé et a prévenu Apple de ces failles. Apple ne va quand même sortir une màj système à chaque fois qu'une faille est trouvée. C'est tellement plus simple de les regrouper et de faire la màj pour combler un ensemble de failles. Ethique, parce que ce n'est pas parce que Apple n'a pas réagit de suite, qu'il peut se permettre de proposer un malware. Bien sur qu'il y a aussi l'erreur de la personne qui l'a validé. C'est comme si un pompier brule une forêt pour alerter l'opinion publique. Ou un architecte qui modifie la composition du beton pour montrer que personne ne va vérifier et que l'immeuble va se casser la gueule en 6 mois ? Non mais où va-t-on ? Il a trouvé une faille, très bien. Il a signalé à Apple, très bien. Et... il aurait du s'arrêter là. En plus il se permet d'être furieux ???
avatar Moof | 
Vous avez un sens de la comparaison et de la mesure digne d'un humoriste. Jouons aux comparaisons : c'est comme si vous fabriquiez votre propre machine volante avec de belles ailes chromées et que vous me demandiez de faire attention à ce que votre invention soit sûre parce que, quand même, vous prévoyez de la commercialiser et même d'en faire une démonstration du haut de la tour Eiffel et vous et voudriez quand même pas qu'il y ait des bobos. Faisant bien mon travail, je découvre que votre machine risque fort de vous tuer si vous tentez de l'utiliser parce que visiblement vous avez négligé le fait que la personne l'utilisant est soumises à un poids. Je vous alerte alors, plusieurs fois pour vous indiquer que idée est folle, mais vous faites la sourde oreille : vous ne répondez à aucun de mes messages et je remarque quelques semaines plus tard que la chaîne de construction de votre machine continue et que ses plans n'ont pas changé d'un iota. Vous n'avez pas du tout pris en compte mes alertes. Je suis alors à la fois attristé par le manque de reconnaissance pour mon travail mais aussi pour les risques que vous prenez en m'ignorant de la sorte. Alors histoire de vous convaincre de me croire, et aussi de sauver votre VIE (ayons le sens du catastrophique) et celle de vos futurs clients je m'empare d'une de vos machines toutes neuves et agréables à l'oeil, y accroche selon mon humeur un gros rocher, un petit chien ou votre femme et je jette tout ça du haut du toit de mon immeuble. Nous sommes alors tous contraints d'admettre que j'avais raison : la machine s'est écrasée quelques mètres plus bas et les séquelles soumises à la pierre/le chien/votre femme sont vraiment terribles ! Vous êtes fâché parce que mon initiative vous a prouvé que j'avais raison et vous aller devoir rectifier des choses sur votre super machine volante (et aussi parce que par ma faute votre femme se déplace avec des béquilles) et du coup vous décidez de ne plus jamais avoir à faire à moi ni à quelqu'un d'aussi consciencieux en me supprimant de votre existence et en brûlant la carcasse de la machine qui m'a servi à démontrer le problème afin d'effacer les preuves. Voilà comment agirait Apple à votre place.
avatar Billytyper2 | 
Ta comparaison est complètement foireuse. Avec ta voiture volante, ce serait plutôt, "J'ai touvé la faille pour pirater le système de fermeture centralisée. Mais comme vous ne m'avez pas écouté, je publie la méthode pour pirater le système de fermeture..." Maintenant tout le monde sait comment voler ta voiture, tu es content ???
avatar Mousse72 | 
Excellent Arcadium ton exemple de machine volante, de Tour Eiffel, et de la faille qui mène au crash... Il y a près d'un siècle déjà.... http://www.youtube.com/watch?v=Eic_9DNwPW8 R.I.P. !
avatar Skywalk3r | 
Réaction de mer... mais pas étonnante de la part d'Apple ... Je conseille aux autres développeurs qui chassent les failles de se taire !
avatar Billytyper2 | 
Non... il faut le signaler... Mais en aucun cas en profiter pour développer et publier un malware utilisant la faille découverte. Je rappelle au cas où tu aurais mal lu le news, le compte de Miller a été fermé parce qu'il a publié un malware utilisant la faille qu'il a découverte.
avatar papousam | 
Ces personnes, se disant de la sécurité, sont tout simplement des criminels qui entrent chez vous et viennent ensuite vous dire que la fenêtre n'avait pas les fermetures adéquates. Ils entrent par effraction et ce seul geste est illégal. C'est le fonctionnement de la peur, ces gens veulent faire peur en faisant croire que les failles qu'ils découvrent sont à la portée de tous et dangereuses pour tous. C'est bien sur totalement faux. Dans notre société, c'est un mode de fonctionnement, on fait peur au gens, les médias le font parfaitement dans n'importe quel domaine. Combien ici se sont fait pirater leur iPhone ? Ne donnez pas la réponse, je la connais : 0
avatar violon76 | 
Ce type ne peut pas être mauvais, il aime les mobiles de Calder :D

CONNEXION UTILISATEUR