Apple : iOS 9.3.4 corrige une faille importante, une chasse aux bugs rémunérée cet automne

Apple propose depuis hier soir une importante mise à jour de sécurité pour iOS. Estampillée 9.3.4, elle corrige une faille liée à une corruption de mémoire. Parallèlement, la firme annonce un prochain programme de chasse aux bugs.

Tous les appareils actuellement concernés par iOS 9 peuvent récupérer depuis hier soir une nouvelle mise à jour. Elle est arrivée sans crier gare, alors qu’Apple avait proposé plusieurs bêtas aux développeurs pour la 9.3.3. Il est probable que la nouvelle ait été rapidement mise en ligne pour colmater une brèche qui avait échappé aux développeurs.

Une corruption de la mémoire

La faille en question, identifiée par le bulletin CVE-2016-4654, est liée à une possible corruption de la mémoire dans le composant IOMobileFrameBuffer. Conséquence, une application pourrait obtenir suffisamment de droits pour exécuter un code arbitraire en mode kernel, avec les conséquences néfastes que l’on imagine. La mise à jour modifie donc « la gestion de la mémoire », sans que l’on en sache davantage. Le bulletin CVE lui-même ne dit rien, si ce n’est qu’il sera complété plus tard.

La récupération de la nouvelle mouture se fait comme d’habitude dans l’onglet Général des Réglages d’iOS. Le téléchargement pèse en moyenne de 25 à 30 Mo selon les appareils s’ils sont à jour. S’ils possèdent une version plus ancienne du système, iOS peut leur proposer de télécharger alors.

Notez que cette nouvelle version casse le jailbreak pour iOS 9.3 proposé récemment par la Team Pangu. Or, dans la fiche de sécurité Apple, c'est bien cette équipe qui créditée pour avoir débusqué la faille. On ne sait pas actuellement si la faille corrigée est celle qui était exploitée pour le jailbreak. On pourrait dès lors louer l'abnégation de Pangu, mais l'enchainement du jailbreak et du correctif 9.3.4 serait alors assez curieux.

Enfin un programme de chasse aux bugs chez Apple

Outre cette mise à jour de sécurité, l’éditeur a procédé à une annonce importante : à compter de cet automne, un « bug bounty » sera ouvert, c’est-à-dire un authentique programme de chasse aux bugs, avec récompense à la clé.

Nous avions évoqué cette cruelle absence à l’arrivée de la première bêta d’iOS 10, dont le cache kernel était laissé en clair. Beaucoup s’étaient interrogés sur la pertinence de ce choix, certains étant d’ailleurs d’avis qu’il s’agissait d’une mauvaise manipulation de l’entreprise. Cette dernière avait cependant répondu que l’absence de chiffrement était volontaire, suggérant que tout le monde pouvait regarder le fonctionnement (attention, on ne parle pas du code source) pour y détecter d’éventuelles failles. Problème : comment motiver les signalements de bugs si rien n’est prévu pour les récompenses ?

D’où l’arrivée prochaine du programme. Apple a officialisé son bug bounty durant la conférence Black Hat, qui s'est terminée hier. À compter de l’automne (la date précise n’est pas encore connue), Apple récompensera donc ceux qui trouveront des failles dans ses produits contre des espèces sonnantes et trébuchantes. La société s’aligne donc avec des concurrents comme Google et Microsoft, qui proposent de tels programmes depuis des années.

Jusqu'à 200 000 dollars de récompense

Dans un premier temps, seuls iOS et iCloud seront concernés par ces récompenses. Apple a d’ailleurs détaillé les montants maximums pour chaque type de brèche :

• Composants impliqués dans le démarrage (firmware) : jusqu’à 200 000 dollars
• Fuite de données depuis la Secure Enclave : jusqu’à 100 000 dollars
• Exécution de code arbitraire avec droits kernel : jusqu’à 50 000 dollars
• Accès non autorisé aux données d’un compte iCloud : jusqu’à 50 000 dollars
• Accès aux données utilisateurs depuis une sandbox : jusqu’à 25 000 dollars

Outre des sommes aptes à en motiver plus d’un pour trouver des failles de sécurité, le programme permet à Apple de lutter contre un autre vrai problème : le marché gris des vulnérabilités. À moins de proposer en effet des sommes conséquentes, certains chercheurs préfèreront revendre leurs trouvailles au plus offrant, qu’il s’agisse de pirates préparant leur prochain méfait, des forces de l’ordre ou des agences de renseignement.

Toute ressemblance avec une situation ayant opposé le FBI à Apple serait tout sauf fortuite. Rappelons en outre le cas d’école de Zerodium, qui avait offert un million de dollars pour obtenir une faille de sécurité viable dans iOS, indiquant par la suite qu’il n’avait pas été question d’en communiquer les détails à Apple.