Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Des chercheurs ont trouvé 55 failles de sécurité dans les infrastructures d’AppleCrédits : Nikada/iStock

11 vulnérabilités critiques, 29 importantes, 11 moyennes et 2 faibles : ce sont les résultats de la moisson lancée par une équipe de cinq chercheurs Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb et Tanner Barnes. Il ne s’agit même pas d’un travail réalisé dans le cadre d’une entreprise, mais d’un projet né d’un défi qu’ils se sont lancés, et qui a presque commencé par un jeu. Bien leur en a pris.

Les cinq chercheurs ont plongé leurs griffes dans l’infrastructure d’Apple, touchant aussi bien aux services internes qu’externes, et concernant donc tout iCloud.com. Ils rappellent combien l’infrastucture d’Apple est « massive ». L’entreprise possède toute la plage 17.0.0.0/8, comprenant 25 000 serveurs web, dont 10 000 consacrés à apple.com, 7 000 domaines uniques et leur propre TLD, .apple.

Certaines failles trouvées étaient « évidentes » car connues. Mais beaucoup ont été des découvertes. Or, plusieurs permettaient en théorie à des pirates de s’infiltrer dans les propres services internes de l’entreprise, d’y lancer des malwares et d’y dérober aisément des données, dont le code source des produits. Il était également possible de prendre le contrôle des sessions utilisateurs. Du très lourd donc.

Les chercheurs indiquent qu’Apple a été « très réactive ». La grande majorité des failles a été très rapidement corrigée, la plupart étant colmatées en quelques heures. Au 8 octobre, 32 des 55 failles avaient déjà fait l’objet d’une récompense, pour un montant de 288 500 dollars. Apple paye a priori par « lots » et devrait s’acquitter du reste de sa dette au cours des prochains mois.

Le rapport publié le 8 octobre a reçu l’aval d’Apple, les vulnérabilités abordées ayant été corrigées il y a environ trois mois.

1 commentaire
Avatar de Equilibrium Abonné
Avatar de EquilibriumEquilibrium- 12/10/20 à 09:59:38

Très bien leur en a pris, et la récompense est plutôt coquette.

Apple n'a pas lancé d'audit secu poussée sur son infrastructure pour que tant de failles critiques soient decouvertes ?

Édité par Equilibrium le 12/10/2020 à 10:00
Il n'est plus possible de commenter cette actualité.