Jump to content

Apple encore piégé par son manque de réactivité

fantomas

By fantomas,
in News

 Share
1 post in this topic

Recommended Posts

fantomas
fantomas
Posted
Posted

Apple encore piégé par son manque de réactivité

 

 

 

"Sale temps pour Apple sur le front de la sécurité. Deux jolies failles ont été découvertes dans ses systèmes d'exploitation. Et dans ces deux cas de figure, Apple a une nouvelle fois péché à cause de son manque de réactivité.

 

macgpic_1378123298_optim.jpg

 

La faille sudo connue depuis mars

La première faille (re)découverte en milieu de semaine dernière concerne la commande sudo. Cette commande permet à l'administrateur système d'autoriser d'autres utilisateurs à exécuter des commandes en tant que super utilisateur.

Comme nous l'expliquions en début de semaine (lire : Une faille de sécurité relative à la commande sudo touche OS X), en réglant l'horloge système sur le 1er janvier 1970, il est possible d'avoir tous les droits sur la machine sans le mot de passe maître. Cette date n'est pas due au hasard, elle est considérée comme étant la date de naissance d'Unix. Il s'agit en quelque sorte de l'an 0 du système.


Dans l'exemple que nous donnions, nous ne faisons qu'afficher la date, mais une personne malintentionnée peut en deux temps trois mouvements faire tout ce qu'il veut de votre ordinateur.

macgpic_1377766136_scaled_optim.jpg

La faille n'est pas béante non plus, elle nécessite une série de conditions pour pouvoir être exploitée. L'utilisateur qui est connecté doit avoir les privilèges administrateurs et doit avoir effectué au moins une fois une commande sudo auparavant. Mais conjuguées à d'autres failles, elle est susceptible de faire des dégâts.
 

Concrètement, toutes les versions de sudo allant de 1.6.0 à 1.7.10pc et de 1.8.0 à 1.8.6pc sont concernées par cette faille. Cette faille touche Lion et Mountain Lion, mais pas Mavericks qui embarque une version de sudo plus récente.


Là où Apple est impardonnable, c'est que cette faille est connue de tous depuis près de six mois. Au passage, si vous souhaitez protéger votre Mac de cette faille en attendant qu'Apple réagisse, nous vous recommandons la lecture de ce billet de Yoann Gini - l'auteur de notre ouvrage consacré à OS X Server - qui donne la marche à suivre.


La chaîne de caractères qui fait planter iOS et OS X

Puisqu'un problème ne vient jamais seul, Apple s'est retrouvé confronté à un autre problème cette semaine. Celui de cette chaîne de caractères qui peut faire planter des applications OS X et iOS. Composée de caractères de la table Unicode/U0600, autrement dit de caractères arabes, elle affecte toutes les applications utilisant l'API de rendu textuel CoreText.


Découverte au moins depuis le mois de février, cette chaîne de texte fait planter automatiquement tous les logiciels utilisant l’API d’Apple (lire : La chaîne de caractères qui faisait planter OS X et iOS). Cela va de Safari à Chrome en passant par Messages ou encore Mail.

macgpic_1377805550_converted_optim.jpg


Là encore, le manque de réactivité d’Apple est pointé du doigt. Preuve s’il en faut, le développeur Filippo Bigarella a mis au point un correctif à l’attention de tous les appareils jailbreakés en l’espace de quelques heures.



Ce week-end Blogmotion a publié une vidéo montrant à quel point il était simple de faire redémarrer un iPhone à distance à l’aide de cette faille. Pire encore, il n’est apparemment pas possible d’accéder à Messages par la suite sans passer par la case restauration. On imagine qu’une personne malintentionnée peut facilement faire des dégâts.


Le laxisme d’Apple une nouvelle fois pointée du doigt

Ces deux nouvelles failles montrent bien toute l’ambiguïté d’Apple vis à vis de la sécurité. Apple a fait indéniablement des progrès sur ce front. Plusieurs chercheurs de sécurité et hackers ont reconnu qu’Apple prenait depuis quelques années déjà cette problématique bien plus au sérieux que par le passé. Elle a ces dernières années embauché de nombreuses pointures dans le domaine.

Lors de la sortie du jailbreak d’iOS 6, le hacker pod2g reconnaissait qu’il était de plus en plus difficile d’arriver à mettre en défaut le système d’Apple (lire : Interview jailbreak iOS 6 : pod2g, hacker ouvert).


Sur ce front, les développeurs ont également souvent reproché à Apple de faire un peu trop de zèle. La mise en place du sandboxing notamment a fait grincer beaucoup de dents.

Mais le plus grand problème d’Apple reste son incroyable manque de réactivité. On aurait pu penser qu’Apple avait retenu les leçons de l’affaire Flashback, qui selon des estimations, avait touché environ 600 000 Mac (lire : Malware : le Mac face à sa première crise majeure ?). Ce malware avait profité du laxisme d’Apple. Il exploitait une faille majeure de Java qui avait été signalée depuis plusieurs semaines et pour laquelle Apple n’avait pas bougé le petit doigt.


1333787516_mgpic_final.jpg


Ce qui est d’autant plus étonnant dans cette affaire, c’est que manifestement Apple est au courant des vulnérabilités qui lui ont été signalées, puisqu’iOS 7 et Mavericks - tous deux en bêta - ont été immunisés. Alors pourquoi Apple a tant de mal à faire preuve de réactivité ? Est-ce une question de priorité ? Un problème de ressources en interne ?


La question reste entière. Il ne faut pas faire de catastrophisme pour autant. Quoi qu’on en dise, iOS et OS X sont des systèmes relativement sûrs. Apple a fait de gros efforts au fil du temps pour sécuriser ses deux logiciels système.


Toutefois, malgré toute la bonne volonté du monde, on continuera toujours à trouver des failles ici ou là. Et si Apple veut faire figure de bon élève et se mettre à l’abri de mauvaises surprises, elle n’a pas d’autre choix que de faire preuve de réactivité !"

 
 
 
  • Like 1
Link to comment
Share on other sites
 Share
Go to topic listing
×
×
  • Create New...