Jeudi dernier, des chercheurs de ZecOps publiaient des informations sur une importante faille dans Mail. Exploitée dans iOS 13, elle pouvait permettre, à l’aide d’autres bugs, de prendre le contrôle de l’appareil sans même que l’utilisateur le sache.
Apple a contesté cette trouvaille, tout comme le fait qu’elle existerait depuis plus de deux ans et serait activement exploitée par des pirates. Les trois failles remontées existent bien, mais seraient insuffisantes pour contourner la sécurité. Elles seront néanmoins corrigées dans une mise à jour « bientôt ».
Comme l’indique Ars Technica, l’annonce de ZecOps a provoqué quelques moues dubitatives chez les chercheurs et experts en sécurité. Notamment la capacité pour le pirate d’effacer automatiquement l’email après avoir accompli son forfait.
ZecOps a en effet basé ses observations sur des évènements enregistrés dans des journaux (logs). Les chercheurs se demandent dès lors pourquoi laisser des traces dans des journaux, puisqu’un pirate ayant le pouvoir d’effacer un courrier peut également supprimer ce genre d’information.
Plusieurs sont également d’avis que la faille principale est bénigne et n’a été finalement provoquée que par certaines circonstances, dont le type d’email. Ce qui expliquerait l’effacement du courrier, mais pas sa trace dans les logs. D’autres estiment que la vulnérabilité semble bien réelle, mais que les preuves avancées sont faibles.
ZecOps, pour sa part, persiste et signe : la faille est réelle, l’exploitation est possible et les informations plus détaillées arriveront plus tard, sans doute quand iOS 13.4.5 (qui colmate la brèche) aura été suffisamment diffusé. Les chercheurs attendent en outre des informations supplémentaires d’Apple, notamment sur les éléments déclencheurs et la manière dont la firme a déterminé qu’ils n’étaient pas malveillants.
Commentaires (15)
#1
Apple a contesté cette trouvaille, tout comme le fait qu’elle existerait depuis plus de deux ans et serait activement exploitée par des pirates. Les trois failles remontées existent bien, mais seraient insuffisantes pour contourner la sécurité. Elles seront néanmoins corrigées dans une mise à jour « bientôt ».
Comme l’indique Ars Technica, l’annonce de ZecOps a provoqué quelques moues dubitatives chez les chercheurs et experts en sécurité. Notamment la capacité pour le pirate d’effacer automatiquement l’email après avoir accompli son forfait.
Quand c’est comme ça, je suis d’avis que les chercheurs balancent direct dans la nature les infos sur l’exploitation de la faille.
Après tout, si le concerné par la faille prétend que c’est inoffensif, diffuser ces infos devrait donc être inoffensif, non?
Comme le dit l’adage, nul ne peut se prévaloir de sa propre turpitude…
#2
Sauf que derrière, tu as des utilisateurs….
Ça ne serait pas très responsable de faire ça.
#3
Clairement une faille aussi lourde ne doit pas être divulguée comme ça.
Après le protocole habituel c’est donné une date limite avant publication des détails (permettant quasiement l’exploitation de la faille avec un peu de r&d) puis à J+30 publier un exploit.
Et apple va réagir si ils font ça. (mais je pense que là c’est une histoire de négociation de prime derrière)
#4
« Apple a contesté cette trouvaille, tout comme le fait qu’elle existerait depuis plus de deux ans et serait activement exploitée par des pirates. Les trois failles remontées existent bien, mais seraient insuffisantes pour contourner la sécurité. Elles seront néanmoins corrigées dans une mise à jour « bientôt ». »
→ D’accord : si Apple dément alors qu’elle existe bien et est exploitée, il s’agit donc probablement d’une énième faille voulue et utilisée par la NSA (qui est pour rappel, tellement au-dessus des lois qu’elle parvient à interdire à ceux qu’elle contacte de simplement parler d’elle, dire qu’elle leur impose des choses et ce qu’elle leur impose), et qui ne sera donc corrigée que lorsque cette dernière en aura trouvé une autre et que cette faille lui sera donc devenue inutile…
#5
#6
Évidemment, encore un coup de la NSA.
Et les chercheurs qui trouvent les preuves louches sont aussi a la soldes de la NSA.
Les chercheurs qui pensent que c’est bénin également.
Ça doit couter tellement cher en corruption !
Surtout que si la NSA est capable d’imposer une backdoor à Apple, suffit de leur mettre un accès user/password directement. Par besoin de le faire via un mail particulier vérolé
#7
Il faudrait très probablement que tu t’intéresse un peu aux révélations de Snowden avant de poster.
" />
NSA: Nombre d’employé 21650 (en 2012) budget 10,2 milliards de dollars américains (toujours en 2012).
#8
Les révélations de Snowden n’ont jamais montré de collaboration active avec la NSA de la part des grandes entreprises du numérique, merci de stopper le FUD.
#9
Pour ta culture Le USA PATRIOT Act permet (entre autre) ceci :
" />
«Dans la pratique, cet Act of Congress autorise les services de sécurité à accéder aux données informatiques détenues par les particuliers et les entreprises, sans autorisation préalable et sans en informer les utilisateurs.»
Il me semble que c’est le programme PRISM qu’a révélé Snowden à ce sujet.
«PRISM est une Special Source Operation (littéralement, « Opération d’une source spéciale ») qui s’inscrit dans la tradition des ententes que la NSA a établies depuis les années 1970 avec plus de 100 sociétés américaines jugées fiables»
Est-ce cela que tu nommes FUD ?.
#10
Le Patriot Act n’est pas spécifique à la NSA.
Je maintiens ce que j’ai dit précédemment, il n’y a pas de collaboration active avec la NSA. PRISM ne remet pas en cause cette affirmation.
#11
Tu as le droit de porter des Œillères mais tu ne nous obligeras pas à en faire de même.
" /> 
" />
#12
C’est parano-news ici.
#13
Ces entreprises n’ont aucun intérêt économique à collaborer au delà de ce que leur impose leur législation locale, bien au contraire. L’illustration parfaite, c’est le déroulé des événements entre Apple et le FBI dans le cadre de la tuerie de San Bernardino.
Ces sociétés sont tellement désireuses de travailler avec la NSA que, quand les détail du programme MUSCULAR sont sortis, elles ont drastiquement augmenté le niveau de sécurité de leur réseau interne :https://arstechnica.com/information-technology/2013/11/googlers-say-f-you-to-nsa…
Ça c’est la réalité, pas du FUD.
#14
Alors il faut que tu saches que la communication, pour beaucoup le nouveau nom de la publicité, n’est pas la réalité.
" />
Tu peux choisir de vivre dans l’univers merveilleux de la communication, mais si tu cherches la réalité tu ne peux te contenter des dires de ces sociétés et nier les liens et l’influence de la NSA et de espionnage en général.
Avant les révélations de Snowden il y avait masse de gens qui parlait de parano au sujet de l’espionnage numérique.
Aujourd’hui, des années après, on les voit ressurgir pour dire que maintenant ça n’existe plus (pourtant je suis prêt à parier que les moyens mis à la disposition de la NSA n’ont pas diminués)
#15