En l’espace de quelques jours, trois failles 0-day, d'ores et déjà exploitées par des pirates, ont été corrigées par Apple et Google. Deux concernent les iPhone, iPad et Mac, tandis que la dernière se trouve dans le navigateur Chrome. Il est bien évidemment conseillé de se mettre à jour dès que possible (si ce n’est pas déjà le cas).
Apple a publié deux bulletins de sécurité (ici et là) pour les failles 0-day CVE-2022-32893 et CVE-2022-32894. Elles ont été remontées au fabricant par un « chercheur anonyme » et sont déjà « activement exploitées ». Dans les deux cas, les conséquences sont importantes puisqu’elles « permettent à un attaquant de provoquer une exécution de code arbitraire à distance », précise l’ANSSI.
CVE-2022-32893 dans Webkit
La première – CVE-2022-32893 – est la plus sévère avec un score CVSS v3.1 de 8.8. Il s’agit d’une « vulnérabilité du type "débordement de tampon" dans le Webkit d’iOS, d’iPadOS et de macOS Monterey ». Pour ne pas laisser macOS Big Sur et Catalina sur le carreau, une mise à jour 15.6.1 a aussi été mise en ligne pour Safari.
L’attaque peut être réalisée à distance (via le réseau) avec une complexité jugée comme « faible » et ne nécessitant aucun privilège particulier. L’attaquant n’a en effet besoin que de persuader sa victime de visiter un site web spécialement conçu pour exploiter cette faille.
CVE-2022-32894 dans le Kernel d’iOS
Concernant la seconde – CVE-2022-32894 –, le vecteur d’attaque est cette fois-ci local via une application spécialement conçue, toujours avec une complexité « faible ». Il s’agit toujours d’un « débordement de tampon », mais dans le Kernel d’iOS cette fois-ci.
Dans les deux cas, les brèches permettent d’exécuter du code arbitraire, mais ce n’est pas tout. La première permet aussi de provoquer un déni de service, la seconde une élévation des privilèges. Elles sont toutes les deux colmatées dans iOS/iPadOS 15.6.1 et macOS Monterey 12.5.1.
CVE-2022-2856 dans Chrome
Ce n’est pas tout, une troisième brèche 0-day a été annoncée ces derniers jours, mais par Google cette fois-ci. Elle concerne le navigateur Chrome et porte la référence CVE-2022-2856. Pour les détails on repassera : « elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur », indique l’ANSSI.
Elle a été corrigée dans les versions 104.0.5112.101 du navigateur pour Linux et macOS et 104.0.5112.102/101 pour Windows. Ce n’est pas la seule brèche corrigée puisqu’elles sont au nombre de onze, mais c’est la seule pour laquelle Google a connaissance qu’un prototype d’exploitation « existe dans la nature ».
watchOS 8.7.1 : pas de faille, mais un bug en moins
Notez enfin qu’Apple a mis en ligne watchOS 8.7.1, mais sans que cela ne soit lié à une faille de sécurité. Il s’agit de prévenir un bug qui pouvait faire redémarrer la montre Watch Series 3 sans raison particulière.
Commentaires (39)
#1
On peut reprocher pas mal de choses à Apple, mais pour le suivi des patchs de sécu et support matériel c’est plutôt suivi (jusqu’au 6S, qui n’est pas tout jeune) …
#1.1
effectivement de mon coté je leur reproche d’avoir exclu mon iphone 3, edge, 3gs et 4 de leurs système : ils sont devenus des 3310 améliorés, pas des smartphones, aucune appli passe. Pourtant ils fonctionnent comme à l’achat!
à part un postmarketos, je vois pas…. apple et android terminé pour moi..
#2
À noter que Edge (basé sur Chrome) semble aussi affecté: https://docs.microsoft.com/en-us/deployedge/microsoft-edge-relnotes-security#august-17-2022
#3
Rien de mieux qu’apple question suivi effectivement, avec environ 7 ans de suivi. On est loin des 2 ou 3 ans de suivi des appareils Android
#3.1
Le problème n’est pas Android mais les constructeurs qui ne jouent pas le jeu de suivre leurs modèles.
#3.7
Et en dehors d’Android (OASP) et de iOS tu vas prendre quoi ?
C’est déjà le fabriquant de puces, quand Qualcomm assure un suivi soft sur maximum 18 mois pour des failles de sécurités & Co, les constructeurs vont avoir du mal à suivre également.
Aujourd’hui y’a un firmware dans de nombreux composants d’un smartphone, si personne ne joue le jeu, on y changera rien.
L4avantage d’Appel c’est que c’est du sur mesure pour eux, donc ils gèrent eux même pratiquement tout, plus facile dans ces conditions d’assurer un suivi sur 7 ans.
Les 7 ans c’est à date de sortie du modèle.
Tu prends un Samsung acheté 3 ans après sa sortie, t’as 0 mises à jours.
C’est pas la date de construction, mais la date de sortie du modèle. ;)
#3.8
Re: Samsung: https://doc.samsungmobile.com/SM-G960F/XEF/doc.html
Donc oui mais non, et c’était pour le S9, avant la politique des 3 ans de màj majeure.
J’ai l’impression qu’Android est moins exploité parce que moins monolithique justement. Ou on entend juste moins parler ?
#3.9
L’un des seuls contre exemple chez Samsung et il ne faut pas avoir une version opérateur en prime.
On en parle des rythmes de MAJ de sécurité pour l’ensemble des modèles ? le A51 qui n’est pas si vieux a des mise à jour de sécurité 2 fois par an … Dans 3 ans ça fera belle lurette qu’il ne recevra plus aucune MAJ, comme ses copains.
https://security.samsungmobile.com/workScope.smsb
Et la on parle des versions nues, sans surcouches opérateurs qui elles ne recevront surement jamais c’est MAJ de sécurité.
Si tu veux parler suivi des majs dans le temps, en Android, à part Fair Phone… y’a pas grand chose. mais ils ont 3 modèles, et pas 50 pars ans.
#3.10
Ouais mais non, prise 2:
A51, version opérateur: https://doc.samsungmobile.com/SM-A515F/FTM/doc.html
le rythme des màj n’est pas fou fou mais on en est à 3 après 8 mois dont un passage à Android 12.
Essaie d’argumenter avec des sources plutôt que d’affirmer gratuitement des trucs faux ;)
Et c’est pas parce que j’aime Samsung que j’argumente, hein. Je suis loin des màj mensuelles qu’on m’a promises sur le S10e version opérateur.
#3.11
Ouai mais en fait si malgré tout vu que c’est quand même pas au niveau de Fair Phone en restant dans Android.
Oui, je t’accorde que Samsung fait des MAJ plus longtemps maintenant sur certains modèles, et je dirais “Enfin !”
Ensuite, la dispo Samsung pour les opérateurs ne veut pas dire diffusion partout dans le monde au même rythme. Nuance importante :)
De plus, j’ai argumenté avec la page générale de Samsung sur les maj des modèles, c’est leur site officiel :p
Et ça ne change rien au fait que :
Appel : 7 ans
Fair Phone 7 ans
Samsung : 3 ans (dans le meilleur des cas)
Marques alac : heu …. ça existe le suivi ?
#3.12
Oneplus: 3 ans pour le système, plus longtemps pour les mises à jour de sécurité.
#3.13
Tu oublies la gamme Pixel qui offre 3 ans de support OS et 5 ans de support de sécurité. C’est plutôt pas mal.
#3.14
iOS et android ne fonctionnant pas de la même façon je ne serai pas aussi catégorique.
la Pomme doit être déçue)
D’une part les applis sous android peuvent être mise à jour sans que Android lui-même ne soit mis à jour, ce qui fait que des m-à-j sont proposées régulièrement ce qui n’est pas le cas d’iOS. Voire même certaines nouvelles fonctionnalités peuvent être proposées alors que les maj d’iOS se réduisent assez rapidement à des petits correctifs de sécurité provenant souvent du Google Threat Analysis Group et du Google Project Zero (donc merci google au passage) et quelques fois d’un “chercheur anonyme” (dixit Apple, ça doit pas être facile à rémunérer ces gens là
D’ailleurs on a bien souvent : “Apple a conscience que cette faille de sécurité a pu être exploitée”, mais on ne sait pas depuis quand, ça rassure chez Apple.
Bref chez Android c’est pas la joie mais il faut arrêter de boire les paroles d’Apple comme du petit lait et ce n’est pas le jour et la nuit par rapport à Apple.
#3.2
C’est plus modeste que ça. L’iphone 7 est sorti en 2016, il a été vendu jusqu’en 2019. En 2022, il ne sera plus supporté par IOS16.
Cela fait 3 ans de support pour ceux qui l’auront acheté neuf en 2019.
#3.3
Han, mais toi t’achètes une vieillerie déjà !
Acheter un iphone 7 en 2019 c’est comme aller en recyclerie chez eux;
du coup t’as que 3 ans de support.
#3.4
Merci de ton commentaire qui m’a ouvert les yeux.
Cela m’a évité d’acheter un android sans aucune mise à jour 😁
Ce serait pareil avec un iPhone 4… On doit pouvoir en trouver en vente, même si pas directement chez le fabriquant 😛
#3.5
Oui bah en même temps tu peux encore en trouver neufs sertis en 2022 dans des fins de stocks. Le constructeur annonce X années de mises à jour, mais après si tu l’achètes 50 ans plus tard à un collectionneur qui l’a jamais déballé faut pas s’imaginer qu’il sera maintenu 7 ans aussi XD. C’est X années à la date de construction, pas d’achat
#3.6
Là, c’était en vente chez Apple.
je pense qu’on devrait compter le support à partir de la date de fin commercialisation du modèle par le fabriquant.
Pour le futur, je suis curieux de voir si les iphone modèles pro auront un support plus long que les modèles non pro.
#4
En l’espace de quelques jours, trois failles 0-day, d’ores et déjà exploitées par des pirates
Le plus important, depuis combien de semaines, mois, années ces failles sont exploitées !!!
#5
?!
Un Samsung Galaxy S7 de février 2016 est sous le dernier Android 12 et reçoit une màj OTA tous les mois des derniers patchs de sécurités
L’équivalent Apple (iPhone 7 de septembre 2016) est abandonné par Apple sous iOS 15, après avoir été volontairement ralenti un an après sa sortie par Apple : https://www.lemonde.fr/pixels/article/2020/11/19/iphone-ralentis-apple-va-verser-113-millions-de-dollars-a-une-trentaine-d-etats-americains_6060361_4408996.html
Iphone 7 : 1an de fonctionnement normal avant sabotage des perf par Apple, suivi d’iOS effectif 5ans après la date de lancement.
Samsung S7 : parfaitement supporté et ouvert 6ans après sa sortie…
#6
Pour moi, la faille numéro un est l’existance d’autant de possibilités d’avoir des dépassements de tampons. C’est vraiment la honte car c’est le ba ba de tout verouiller.
A la base, des mises jour incessantes implique juste que le ravail est bâclé et que les fournisseurs de logiciels ont réussi l’exploit de nous faire admetre que la situation était normale. On en arrive même à douter de la qualité d’un soft quand il n’est pas patché trois fois par mois.
Une des causes hormis le temps trop court consacré aux tests et ä la qualité des languages de programmation pour empêcher cela, est la quantité impressionnante de code inutile.
La gestion des publicités, les drm, tous les gadgets inutiles qui nous pourissent la vie “pour nore bien”.
Quand je vois la place que prend le code et les données du clavier google, je suis sidéré.
#7
#7.1
Pourquoi ignorer une des qualités essentielles d’un produit par rapport à un autre ?
Tu en sais encore moins des contributions du fabricant ou pire de l’opérateur.
Y’a des boutiques de GSM qui font ça pour 10€ à tous les coins de quartier, une fois la ROM changée c’est exactement identique à une màj officielle (y’a une notif tu cliques dessus ça install)
Madame Michu va avoir du mal à installer des mises à jour ou même simplement utiliser un iphone 5S : le support a cessé avec iOS12 en 2019 (après 6ans), donc depuis les applis ne sont plus màj, petit à petit, elles refusent de se lancer voir disparaissent complètement du téléphone…
#7.2
Je viens d’aller voir le site lineageos, et c’est encore pire que ce que je pensais. Même lineage ne maintient plus le GS7, c’est une “private build” faite par un gars solo dans son coin…
Faut juste rester sérieux un moment. Le gars tout seul, il maintient au mieux un hack pour pouvoir installer l’OS en bidouillant ce qu’il peut jusqu’à ce que ca s’installe. Par exemple, Android 12 requiert une secure enclave hardware que le Exynos 8890 n’a pas. Il y a donc forcement un hack crados pour faire croire à l’OS qu’il y en a une. Bref, donc coté sécu… on repassera.
#8
les débordement de tampon, en général, c’est saignat
#9
#10
Ah, j’ai pas eu cette chance avec un Xcover4 acheté en 2018: Plus rien depuis juillet 2020 niveau MAJ Android (achat en version 8, passé qqmois après achat en 9 avec 1 ou MAJ sécu ensuite et plus rien)…
Pourtant une gamme durcie/pro, dont le principal élément périssable (la batterie) reste sur ce modèle extractible/changeable sans outils: Avec un truc restant pas trop énorme, c’était un des impératifs d’achat. Et comme il se casse plutôt bien la gueule (y compris quand je le balance car le tactile pour doigts de fi… et moi ça fait deux), il va rester sans doute longtemps ainsi.
#11
La mise à jour des features s’arrête mais n’empêche pas le tel de recevoir des patchs de sécu.
L’iPhone 5S, qui est sorti en septembre 2013, soit il y a 9 ans, est encore patché.
Donc ton iPhone7, qui est déjà une relique pour certain, va continuer de recevoir des des patch de sécu pendant encore au moins 3 ans, même si l’OS n’aura plus les dernières features.
#12
Il serait interessant de comparer les parts de marché du nombre de GS7 sous lineage vs le nombre d’iPhone 5S…
Tu conviendras que rooter son tel pour mettre une ROM custom, dont tu ne sais rien du niveau de sécurité des contributions, c’est pas la même chose que d’appuyer sur le bouton “installer” que Mme Michu elle même sait faire, 9ans après la sortie du téléphone (iPhone 5S)…
#13
On sent la mauvaise foi…
Si tu parles de la boite qui dev l’OS, Android ou Apple, question vol de donnée, j’ai vite fait mon choix. Avec des rom custom, t’ajoutes encore en couche d’incertitude et tu dépends du bon vouloir de quelques motivé à garder une relique en vie. C’est tout à leur honneur, mais le jour ou ils arrêtent, tu pourras rien y faire.
Ensuite, on est en 2022.
sept 2022 - sept 2013 = 9 ans.
C’est pas parce que l’iPhone 5S est bloqué en IOS12 qu’il n’y a plus de patch de sécu. Ce sont deux choses différentes. Et c’est pareil avec les pixels d’ailleurs, 2 ans d’update majeurs + 3 ans de patch sécu. Et que des applis récentes ne soient plus compatible, ca me choque pas. Par contre, qu’il ne devienne pas une passoire, c’est important. Quant aux applis, tu peux toujours installer les dernières version compatible.
Ensuite, tu parles du GS7, mais qu’en est-il des 2000 autres références Android? Le cas du GS7 est une exception. Mon HTC One S, ca fait bien longtemps qu’il sert de presse papier.
#14
Je trouve ça osé de comparer un smartphone moyen de gamme de 2012 avec un haut de gamme de 2016. Pour rappel avant 2015, les processeurs étaient encore en 32 bits, et seul les hauts de gamme avaient plus de 1 Go de ram, autant dire qu’on était à la préhistoire (en plus en passant j’ai vu que les HTC One S était le seul à avoir sa variante de snapdragon S4 donc espérer une rom custom c’est croire aux miracles).
Et je crois que tu n’as pas lu mes remarques plus haut. Apple n’est à l’initiative d’aucune découverte de faille majeure sur iOS 12 depuis belles lurettes, ne communique que si elle est acculée.
Est-ce que iOS est plus sécurisé qu’Android ? C’est possible. Est-ce qu’on utilise un smartphone sécurisé en étant sur un 5S après 8-9 ans ? J’en doute fort.
#14.1
Ah parfait, donc pour mon prochain Android, il faudra que je fasse gaffe à la marque, qu’il soit bien populaire pour avoir une chance que la communauté le suive, au modèle, de bien prendre un haut de gamme, en prenant le bon SOC, Exynos, Snapdragon, sinon point de salut, et que je prédise que ce SOC dans l’avenir sera utilisé sur plusieurs smartphone. Pas comme ma grossière erreur d’avoir pris un smartphone avec une variante du Snapdragon S4, honte à moi, j’aurai due le prévoir. Pour l’architecture, ARM, RISC, 32 bits, 64 bits, 128 bits, je sais maintenant qu’il faut que j’y pense pour dans 9 ans. Et puis j’allumerai un cierge pour espérer que Lineage le suive. Et pour finir quelques incantations vaudoo pour espérer qu’un gars tout seul à l’autre bout du monde veuille bien maintenir une private build quand Lineage décidera de ne plus le maintenir. En espérant qu’il ne glisse pas quelques malware au passage pour rétribuer son travail.
Ou alors, on appuie sur le pop-up “Installer et redémarrer” sur un iPhone 5S, 9 ans après la sortie, et basta.
Quant aux applis bancaire, si t’es confort d’installer une appli bancaire sur un OS recompilé par un seul gars à l’autre bout du monde, c’est ton choix. Mais juste ne croit pas que c’est une solution sécurisée. Surtout en faisant croire à l’OS que le tel a une secure enclave alors qu’en réalité, ce n’est qu’un pauvre fichier posé sur le filesystem sur tel accessible par n’importe quel service local ou appli qui a les droits root.
Contrairement à ce que tu prétends, je viens d’essayer à l’instant avec les applis de mes banques, la SG et Boursorama et les applis s’installent sans aucun problème sur un iPhone 5S.
#15
Et donc ?, c’est pas moins sécurisé que l’OS précédent ?
Le code source est là https://github.com/8890q/
Il n’y a pas de seconde vie sur un iphone quand Apple décide que c’est fini : tu perds Météo France l’appli de ta banque, et te retrouves avec un gros 3310 qui tient à peine une journée mais prends des photos quand même.
Sur Android, ce n’est pas systématique, mais il y’a de fortes probabilités que le libre prenne le relais.
Mon téléphone d’encore avant était un Sony Xperia SP : un entrée de gamme de 2013, je l’ai gardé presque une dizaine d’année. Sa fin est liée aux limites hardware (1go de RAM <=> impossibilité de faire tourner un OS récent, à la fin seule les apps go arrivaient à tourner) et pour le coup sur ce téléphone, toute la procédure pour rooter / débloquer et changer d’OS était sur le site de Sony directement dans la page support du produit.
#15.1
J’ai fait un mix de réponse à toi et cyril8 dans le commentaire précédent.
Sony Xperia SP, gardé presque 10 ans, faut être précis, parce 2023, on y est pas encore…
Iphone 5S, de 2013 également, 9 ans plus tard (précisément), je peux encore installer des applis qui fonctionnent comme celles de ma banque sans risque coté sécu.
La différence, Xperia SP n’est plus maintenu depuis probablement 2015 (au pif, j’ai pas vérifier), l’iPhone 5S l’est toujours niveau patch de sécu et sans besoin de rooter quoi que ce soit ou installer de ROM custom.
Alors il ne faut pas se méprendre à mon sujet, je ne suis pas fanboy Apple, c’est complètement merdique sur beaucoup de points, comme l’impossibilité d’installer simplement des applis sans passer par leur store. Mais sur le point précis du suivi de l’OS coté sécu, ils sont à des années lumières en avance sur l’écosystème Android, et depuis très longtemps…
Google a annoncé suivre 2 ans OS + 3 ans sécu sur les derniers pixels (2022). Ils n’ont que 9 ans de retard.., et ca ne concerne que les Pixels et les HdG Samgung il me semble. Mais bon, on va dire que ca avance dans le bon sens au moins sur ce sujet là…
#15.2
Mais sur le point précis du suivi de l’OS coté sécu, ils sont à des années lumières en avance sur l’écosystème Android, et depuis très longtemps…
Avec des maj qui leurs sont imposées, qu’ils rechignent à publier (d’ailleurs ce sont des mauvais payeurs concernant les découvreurs de faille) et qui se font rares bien avant 9 ans, c’est incroyablement naïf de croire qu’on est hyper protégé avec un appareil qui a plus de 5 ans chez Apple. Leur seul avantage c’est le respect de la vie privée pas la sécurité.
#16
Pourquoi tomber dans la caricature ? Quand tu achètes de l’électroménager tu prends une marque inconnue ou tu essaies de prendre une marque reconnue qui aura un SAV et un suivi des pièces ? Si tu achètes une voiture, tu prends une marque que ton garagiste connaitra, dont les pièces détachées seront facile à trouver et à remplacer ou tu achètes une asiatique dont l’acheminement des dites pièces te coutera un bras et sans garantie ? Et bien pour les smartphones c’est la même chose.
Par exemple depuis toujours il faut privilégier qualcomm à Mediatek car ce dernier ne diffusait pas le code source de ses soc. De plus un haut de gamme a bien plus de chance d’être suivi officiellement par Lineage et ce depuis toujours quoi que tu puisses en penser. Ce n’est pas une question de honte c’est une question de bon sens.
Pour le 5s tu fais comme tu veux, maintenant tu peux regarder le détail des CVE chez Apple, tu verras à quelle fréquence elles sont publiées et par qui (quasiment jamais par Apple) et bien que ce soit très facile de faire la maj, je doute que ça permette de dire que ton 5s est très sécurisé.
#17
Je pense que tu prends pas assez de recul…
La politique de mise à jour de la quasi totalité des smartphones Android aujourd’hui en circulation, c’est au max 3 ans.
Fragmentation:
Android 12 est à seulement 13,3 % de parts de marché un peu moins d’un an après son lancement, contre 27 % pour Android 11 et 22,3 % pour Android 10. Android 9 est pour sa part à 14,5 %, tandis qu’Android 8 est encore à 10,9 %. Cette mouture a pour rappel été lancée il y a cinq ans déjà, en 2017.
source: https://www.nextinpact.com/article/69804/android-13-disponible-en-version-finale-fragmentation-est-toujours-importante
Les patch mensuel/trimestriel allégé de quelques patch de sécu…
source: https://www.wired.com/story/android-phones-hide-missed-security-updates-from-you/
Même si Apple n’est pas parfait, ca reste très loin du bordel chez Android.
#17.1
Je m’auto cite : “Bref chez Android c’est pas la joie mais il faut arrêter de boire les paroles d’Apple comme du petit lait et ce n’est pas le jour et la nuit par rapport à Apple”
Ma conclusion : chez Android on sait que l’on n’est pas bien sécurisé (même si je n’ai pas souvenir de faille majeure exploitée à l’échelle du globe), chez Apple on croit être parfaitement sécurisé.
#18
On est d’accord sur ce point, je répondais à l’origine au commentaire disant que le S7 était encore à jour…