Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Faille Mail dans iOS : Apple dément, ZecOps insiste, des chercheurs dubitatifsCrédits : LittleBee80/iStock/ThinkStock

Jeudi dernier, des chercheurs de ZecOps publiaient des informations sur une importante faille dans Mail. Exploitée dans iOS 13, elle pouvait permettre, à l’aide d’autres bugs, de prendre le contrôle de l’appareil sans même que l’utilisateur le sache.

Apple a contesté cette trouvaille, tout comme le fait qu’elle existerait depuis plus de deux ans et serait activement exploitée par des pirates. Les trois failles remontées existent bien, mais seraient insuffisantes pour contourner la sécurité. Elles seront néanmoins corrigées dans une mise à jour « bientôt ».

Comme l’indique Ars Technica, l’annonce de ZecOps a provoqué quelques moues dubitatives chez les chercheurs et experts en sécurité. Notamment la capacité pour le pirate d’effacer automatiquement l’email après avoir accompli son forfait.

ZecOps a en effet basé ses observations sur des évènements enregistrés dans des journaux (logs). Les chercheurs se demandent dès lors pourquoi laisser des traces dans des journaux, puisqu’un pirate ayant le pouvoir d’effacer un courrier peut également supprimer ce genre d’information.

Plusieurs sont également d’avis que la faille principale est bénigne et n’a été finalement provoquée que par certaines circonstances, dont le type d’email. Ce qui expliquerait l’effacement du courrier, mais pas sa trace dans les logs. D’autres estiment que la vulnérabilité semble bien réelle, mais que les preuves avancées sont faibles.

ZecOps, pour sa part, persiste et signe : la faille est réelle, l’exploitation est possible et les informations plus détaillées arriveront plus tard, sans doute quand iOS 13.4.5 (qui colmate la brèche) aura été suffisamment diffusé. Les chercheurs attendent en outre des informations supplémentaires d’Apple, notamment sur les éléments déclencheurs et la manière dont la firme a déterminé qu’ils n’étaient pas malveillants.

15 commentaires
Avatar de js2082 INpactien
Avatar de js2082js2082- 27/04/20 à 08:48:36

Apple a contesté cette trouvaille, tout comme le fait qu’elle existerait depuis plus de deux ans et serait activement exploitée par des pirates. Les trois failles remontées existent bien, mais seraient insuffisantes pour contourner la sécurité. Elles seront néanmoins corrigées dans une mise à jour « bientôt ».

 Comme l’indique Ars Technica, l’annonce de ZecOps a provoqué quelques moues dubitatives chez les chercheurs et experts en sécurité. Notamment la capacité pour le pirate d’effacer automatiquement l’email après avoir accompli son forfait. 

 Quand c'est comme ça, je suis d'avis que les chercheurs balancent direct dans la nature les infos sur l'exploitation de la faille.

Après tout, si le concerné par la faille  prétend que c'est inoffensif, diffuser ces infos devrait donc être inoffensif, non?
Comme le dit l'adage, nul ne peut se prévaloir de sa propre turpitude...   :fumer:

Édité par js2082 le 27/04/2020 à 08:49
Avatar de dylem29 Abonné
Avatar de dylem29dylem29- 27/04/20 à 08:55:34

Sauf que derrière, tu as des utilisateurs....
Ça ne serait pas très responsable de faire ça.

Avatar de XMalek INpactien
Avatar de XMalekXMalek- 27/04/20 à 08:59:55

Clairement une faille aussi lourde ne doit pas être divulguée comme ça.

Après le protocole habituel c'est donné une date limite avant publication des détails (permettant quasiement l'exploitation de la faille avec un peu de r&d) puis à J+30 publier un exploit.

Et apple va réagir si ils font ça. (mais je pense que là c'est une histoire de négociation de prime derrière)

Avatar de Trit’ Abonné
Avatar de Trit’Trit’- 27/04/20 à 09:06:28

« Apple a contesté cette trouvaille, tout comme le fait qu’elle existerait depuis plus de deux ans et serait activement exploitée par des pirates. Les trois failles remontées existent bien, mais seraient insuffisantes pour contourner la sécurité. Elles seront néanmoins corrigées dans une mise à jour « bientôt ». »
→ D’accord : si Apple dément alors qu’elle existe bien et est exploitée, il s’agit donc probablement d’une énième faille voulue et utilisée par la NSA (qui est pour rappel, tellement au-dessus des lois qu’elle parvient à interdire à ceux qu’elle contacte de simplement parler d’elle, dire qu’elle leur impose des choses et ce qu’elle leur impose), et qui ne sera donc corrigée que lorsque cette dernière en aura trouvé une autre et que cette faille lui sera donc devenue inutile…

Avatar de flan_ Abonné
Avatar de flan_flan_- 27/04/20 à 09:39:04

XMalek a écrit :

Clairement une faille aussi lourde ne doit pas être divulguée comme ça.

Après le protocole habituel c'est donné une date limite avant publication des détails (permettant quasiement l'exploitation de la faille avec un peu de r&d) puis à J+30 publier un exploit.

Et apple va réagir si ils font ça. (mais je pense que là c'est une histoire de négociation de prime derrière)

La correction est déjà faite (en beta) et prévue pour le prochain patch.

Avatar de Arkamenion Abonné
Avatar de ArkamenionArkamenion- 27/04/20 à 09:49:18

Évidemment, encore un coup de la NSA.

Et les chercheurs qui trouvent les preuves louches sont aussi a la soldes de la NSA.
Les chercheurs qui pensent que c'est bénin également.

Ça doit couter tellement cher en corruption !

Surtout que si la NSA est capable d'imposer une backdoor à Apple, suffit de leur mettre un accès user/password directement. Par besoin de le faire via un mail particulier vérolé

Avatar de Jeanprofite INpactien
Avatar de JeanprofiteJeanprofite- 27/04/20 à 09:59:42

Il faudrait très probablement que tu t'intéresse un peu aux révélations de Snowden avant de poster.

NSA: Nombre d'employé 21650 (en 2012) budget 10,2 milliards de dollars américains (toujours en 2012).

:fumer:

Avatar de PSXBH Abonné
Avatar de PSXBHPSXBH- 27/04/20 à 10:50:34

Les révélations de Snowden n'ont jamais montré de collaboration active avec la NSA de la part des grandes entreprises du numérique, merci de stopper le FUD.

Avatar de Jeanprofite INpactien
Avatar de JeanprofiteJeanprofite- 27/04/20 à 11:06:18

Pour ta culture Le USA PATRIOT Act permet (entre autre) ceci :
«Dans la pratique, cet Act of Congress autorise les services de sécurité à accéder aux données informatiques détenues par les particuliers et les entreprises, sans autorisation préalable et sans en informer les utilisateurs.»

Il me semble que c'est le programme PRISM qu'a révélé Snowden à ce sujet.

«PRISM est une Special Source Operation (littéralement, « Opération d'une source spéciale ») qui s'inscrit dans la tradition des ententes que la NSA a établies depuis les années 1970 avec plus de 100 sociétés américaines jugées fiables»

Est-ce cela que tu nommes FUD ?. :fumer:

Avatar de PSXBH Abonné
Avatar de PSXBHPSXBH- 27/04/20 à 11:20:26

Le Patriot Act n'est pas spécifique à la NSA.

Je maintiens ce que j'ai dit précédemment, il n'y a pas de collaboration active avec la NSA. PRISM ne remet pas en cause cette affirmation.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2