Des chercheurs ont trouvé 55 failles de sécurité dans les infrastructures d’Apple
Le 12 octobre 2020 à 08h30
2 min
Sciences et espace
11 vulnérabilités critiques, 29 importantes, 11 moyennes et 2 faibles : ce sont les résultats de la moisson lancée par une équipe de cinq chercheurs Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb et Tanner Barnes. Il ne s’agit même pas d’un travail réalisé dans le cadre d’une entreprise, mais d’un projet né d’un défi qu’ils se sont lancés, et qui a presque commencé par un jeu. Bien leur en a pris.
Les cinq chercheurs ont plongé leurs griffes dans l’infrastructure d’Apple, touchant aussi bien aux services internes qu’externes, et concernant donc tout iCloud.com. Ils rappellent combien l’infrastucture d’Apple est « massive ». L’entreprise possède toute la plage 17.0.0.0/8, comprenant 25 000 serveurs web, dont 10 000 consacrés à apple.com, 7 000 domaines uniques et leur propre TLD, .apple.
Certaines failles trouvées étaient « évidentes » car connues. Mais beaucoup ont été des découvertes. Or, plusieurs permettaient en théorie à des pirates de s’infiltrer dans les propres services internes de l’entreprise, d’y lancer des malwares et d’y dérober aisément des données, dont le code source des produits. Il était également possible de prendre le contrôle des sessions utilisateurs. Du très lourd donc.
Les chercheurs indiquent qu’Apple a été « très réactive ». La grande majorité des failles a été très rapidement corrigée, la plupart étant colmatées en quelques heures. Au 8 octobre, 32 des 55 failles avaient déjà fait l’objet d’une récompense, pour un montant de 288 500 dollars. Apple paye a priori par « lots » et devrait s’acquitter du reste de sa dette au cours des prochains mois.
Le rapport publié le 8 octobre a reçu l’aval d’Apple, les vulnérabilités abordées ayant été corrigées il y a environ trois mois.
Le 12 octobre 2020 à 08h30
Commentaires (1)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 12/10/2020 à 09h59
#1
Très bien leur en a pris, et la récompense est plutôt coquette.
Apple n’a pas lancé d’audit secu poussée sur son infrastructure pour que tant de failles critiques soient decouvertes ?