Passer au contenu

Découvertes d’importantes failles de sécurité zero day sur iOS et OS X… connues d’Apple

Bis repetita. Apple est de nouveau épinglé pour des failles de sécurité découvertes sur iOS et OS X, par des chercheurs universitaires cette fois-ci. Ces failles…

Bis repetita. Apple est de nouveau épinglé pour des failles de sécurité découvertes sur iOS et OS X, par des chercheurs universitaires cette fois-ci. Ces failles permettraient de contourner les contrôles de sécurité sur l’App Store et donneraient ainsi accès à des mots de passe et données sensibles notamment.

Découvertes_importantes_failles_sécurité_zero_Day_iOS_OSX

Si Tim Cook entend protéger la vie privée des utilisateurs d’Apple, il ferait bien de commencer par sécuriser l’écosystème Apple. Car si la firme axe sa stratégie sur le renforcement de la sécurité de ces produits et services, force est de constater que les failles perdurent et les solutions se font attendre.

Après une importante faille SSL en février 2014 sur OS X, puis une rencontrée en janvier dernier par le chercheur Jan Soucek sur Apple Mail et iCloud, six chercheurs publient un article dans lequel ils assurent avoir débusqué plusieurs failles touchant au système d’exploitation d’Apple.

Ainsi, une application malveillante peut être introduite sur l’App Store, sans être signalée et déclencher un signal d’alarme. Ce malware s’attaque ensuite à Keychain (gestionnaire de mot de passe) et permet de procéder au vol de plusieurs mots de passe et tokens d’identification sur les diverses applications installées et utilisant Keychain.

Les failles présentes, appelées Cross App Resources attacks (ou XARA), exploitent les vulnérabilités « zero day » (non corrigées) dans le processus de communication entre les applications sur iOS et OS X, permettant ainsi de contourner la protection supposée des sandbox.
« Les conséquences de ces attaques sont désastreuses », préviennent les chercheurs. Sur 1612 applications sur OS X et 200 applications parmi les plus populaires sur iOS, 88,6% d’entre elles sont exposées à des failles XARA.
Les chercheurs ont débuté leurs recherches sur Android en étudiant les failles découvertes sur l’OS de Google.

Les problèmes de s’arrêtent pas là pour Apple puisqu’il s’avère que la firme de Cupertino était au courant de la découverte des chercheurs depuis octobre 2014. Néanmoins, selon The Register, elle a demandé un délai de 6 mois pour trouver une solution avant la publication des résultats de recherche des six chercheurs. Force est de constater que la firme n’y est pas parvenue. Les vulnérabilités “jour zéro” sont toujours présentes…

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

11 commentaires
  1. Je ne suis pas sûr qu’on puisse parler de “zero day” pour une faille connue mais pas encore corrigée.

    1. D’après Wikipedia : “une vulnérabilité informatique n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu.”

  2. Force est de constater que tel est pris qui croyait prendre car Microsoft moqué par Apple pendant des années est aujourd’hui bien plus sûr avec ses OS que ne l’est Apple… Il ne suffit pas de parader, car la fourmi Microsoft s’est entretemps mi au boulot. On comprends pourquoi Apple a du mal à franchir les portes des entreprises.
    Je suis à peu près sûr que cette situation, qui était désastreuse pour Microsoft en terme d’image il y a 10 ans sera bien minimisée par les services de communication d’Apple, trois pirouettes de Tim Cook et une petite phrase assassine sur Google et la vie permettront à Apple de trouver un arbre pour cacher la forêt.

  3. @taratata: tu ne sais pas qu’il n’y a pas de Malware ou virus sur MacOS et iOS… Tu le saurais si tu suivais la com d’Apple 😉

    1. “tu ne sais pas qu’il n’y a pas de Malware ou virus sur MacOS et iOS… ” il n’y a plus non plus de tête pensante chez Apple… reste plus que des designers et des marketteux

  4. Il serait tant d’arrêter de jouer les naïfs.
    Aucun système n’est inviolable.

    Quant à l’intérêt de publier ce genre d’informations, je ne suis toujours pas certain de le comprendre. Un peu comme ces reportages “journalistiques” qui montrent comment les cambrioleurs rentrent chez nous ou volent nos voitures.

    1. Peut-être car une fois les personnes informées du “comment”, ils peuvent solutionner le problème ?
      Comment te prémunir de quelque chose si tu n’en as pas conscience ou si tu ne sais pas comment ils font ?

      PS : Je ne parle pas spécialement de la news ici mais en général.

  5. Petite faute dernier paragraphe première ligne 😉

    “Les problèmes de s’arrêtent pas là pour Apple”

  6. Sont tristes les com et les articles sur le JDG en ce moment.

    On épingle Apple en oubliant de préciser que toutes ces failles (de manières générales en ce qui concerne les mécanismes de sandboxing et de ressources partagés entre les applications) sont aussi présentés sur Android et Google (même si Android s’en sort un peu mieux que les autres).

    Des failles yen a partout, et quand on voit duqu 2.0 capable de s’implanter dans un domaine active Directory (Microsoft ca veut dire ca) et se déployer sur toutes les machines du réseau sans laisser aucune trace. Ouai beau boulot Microsoft et arrête de parler de choses que tu ne comprends pas.

    Le ton de l’article est assez amusant, certes la réponse d’Apple et insatisfaisante en terme de délai, mais il faut quand même noter qu’il s’agit du fonctionnement du système lui même, et que ces changement ne sont pas si évident à mettre en place sans changer drastiquement les mécaniques des ressources partagés.

    Et encore une fois, aucun de nos systèmes n’est sur. Le drame avec OpenSSL l’année dernière aurait déjà dû ouvrir les yeux du monde.

  7. A l’heure où on dématérialise tous les documents, les comptes bancaires, etc… Ce n’est pas encourageant.
    On ne se sent vraiment pas en sécurité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *