Expert en sécurité, Charlie Miller a trouvé une faille de sécurité sur les appareils Apple. Il a fait publier sur l'Appstore une application pouvant exécuter ensuite n'importe quel code, sans passer par les vérifications d'usages.
Il a publié une vidéo.
Le code ou la méthode exacte de l'attaque n'a pas été dévoilé. Miller attend qu'Apple ait corrigé le problème. Il fera sans doute démonstration de son exploit lors de la conférence SysCan, à Taiwan le 17 novembre.
Il est sympa quand même Charlie.
L'article sur maxisciences.com
# Les Charlie subissent en ce moment.
Posté par muchos (site web personnel) . Évalué à -7.
Visiblement, Apple n'a pas apprécié l'initiative de Miller - qui est développeur chez eux - puisqu'il s'est fait tout simplement viré... via Twitter !
Debug the Web together.
[^] # Re: Les Charlie subissent en ce moment.
Posté par François Trahay (site web personnel) . Évalué à 4.
Hum... D'après ton lien, il ne s'est pas fait virer via twitter. Il a annoncé qu'il s'était fait virer du "iOS Developer program" sur Twitter.
[^] # Re: Les Charlie subissent en ce moment.
Posté par muchos (site web personnel) . Évalué à -2.
Anéfé ! Merci pour la correction.
Donc, sans doute une mise au placard. Les I-mbéciles !
Debug the Web together.
[^] # Re: Les Charlie subissent en ce moment.
Posté par Eric P. . Évalué à 3.
Rien à voir avec une mise au placard, Charlie Miller n'a jamais travaillé chez Apple. Il était juste enregistré comme développeur sur l'AppStore et s'est fait viré de l'AppStore.
Excusez l'absence d'accents dans mes commentaires, j'habite en Australie et n'ai pas de clavier francais sous la main.
[^] # Re: Les Charlie subissent en ce moment.
Posté par Troy McClure (site web personnel) . Évalué à 6.
ben si il a fait publier un malware sur l'app-store , ça me semble la moindre des choses que de se faire kick banner son compte developpeur, c'est pas un bac a sable pour les script kiddies et les experts en sécurité qui veulent se faire mousser.
[^] # Re: Les Charlie subissent en ce moment.
Posté par dest . Évalué à 6.
Quand tu veux prouver quelque chose, il faut parfois aller jusqu'au bout.
[^] # Re: Les Charlie subissent en ce moment.
Posté par cosmocat . Évalué à 5.
Surtout qu'apparement il a déjà aidé Apple en leur remontant divers bugs et/ou failles (et pas plus tard qu'au mois d'octobre). Les actions cons du genre "je me tire une balle dans le pieds", ça fait bien marrer en général...
Et je pense même qu'il s'est servi de l'Apple store de façon à vérifier que ça marchait et qu'il y avait donc une faille...
[^] # Re: Les Charlie subissent en ce moment.
Posté par pasScott pasForstall . Évalué à -9.
T'as pas besoin du store pour verifier, juste un compte developeur, et tu teste sur ton telephone.
Les binaires developpeurs passent par le meme process de signature, ils sont juste signes avec des certificats differents.
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Les Charlie subissent en ce moment.
Posté par pasScott pasForstall . Évalué à -8.
Dns ce cas, t'as pas besoin de publier sur le store et encore moins de venirmle fanfarroner en public une fois en ligne.
T'ouvres un bug sur le bug tracker apple, tu joint ton exploit, apple est au courant et corrigera le pb.
C'est comme si un contributeur fedora s'amusait a glisser son exploit dans les repo officiels et venait ensuite le crier sur les toits une fois que ca a atteint RHEL, comment est ce que RH le prendrais a ton avis?
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Les Charlie subissent en ce moment.
Posté par bubar🦥 (site web personnel) . Évalué à 2.
Il y a une différence de taille entre les deux :
Chez Redhat il n'aurait pas été obligé de passer par un tel process pour prouver qu'il y a problème. Et au pire, s'il n'enlève pas lui même ses commentaires (àlacon) il y aura certainement toujours quelqu'un pour ne regarder que le code dans ses messages.
Il est probable que pour Apple il s'agisse moins d'un problème avec les règles de son appstore que sa réputation. Qu'il ai réussi à commiter ça comme cela démonte bien la légende des vérifications chez Apple. Et ça, ça doit leur faire plus mal au cul qu'une faille, en fait.
[^] # Re: Les Charlie subissent en ce moment.
Posté par pasScott pasForstall . Évalué à -9.
C'est un exploit, tu crois quoi, qu'apple vérifie chaque chemin de code possible et imaginable en decompilant le binaire?
Ils partent du principe que leur sandbox marche, ça parait assez naturel non?
Chez Apple non plus, la preuve il a fait des reports a Apple par le passe et a été ecoute...
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
[^] # Re: Les Charlie subissent en ce moment.
Posté par pasScott pasForstall . Évalué à -8.
Tu crois que s'il bossait chez apple, il aurait été suffisamment idiot pour diffuser sont proof of concept sur l'appstore plutôt que de filer un bug en interne?
Le monsieur est chercheur independant et a viole une des règles sacrées de l'AppStore (ne pas telecharger de code depuis l'extérieur), c'est pas très étonnant qu'il se fasse kicker du store.
Disons que bosser dur pour violer une des conditions les plus critique/importante du store et ensuite venir le fanfaronner en public, faut pas s'attendre a ce qu'apple lui envoi un cheque pour le remercier.
Meme si l'exploit est joli et très interesant, la façon de procéder fait très "je veux avoir mon nom sur tous les sites tech qui cherchent du sensationnel croustillant sur apple le méchant qui censure".
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
# Nos ?
Posté par 🚲 Tanguy Ortolo (site web personnel) . Évalué à -2.
C'est de la provocation, ça. Les données des iPhone et des iPad des gens qui en ont, mais a priori ça ne devrait pas être le cas de beaucoup de libristes. En tout cas, je trouve insultant de suggérer que le lecteur en a un a priori. À moins que ce ne soit de l'ironie du vendredi^jeudi précédent un vendredi férié.
[^] # Re: Nos ?
Posté par Marotte ⛧ . Évalué à 4.
C'est sur que pour avoir des données iPhone et iPad faut avoir un des joujous d'Apple. J'ai recopié le titre de l'article original, qui n'est pas forcément à destination des libristes.
T'as pas l'impression d'enfoncer une porte ouverte là avec ton commentaire ? :)
[^] # Re: Nos ?
Posté par Dorian . Évalué à 1.
Pour le défendre, on pourrait dire que l'on on envoie des données à un iTruc (SMS, Appels, ...) donc grâce à cette faille, des hackers pourraient avoir accès à (une partie) de nos données privées.
« En fait, le monde du libre, c’est souvent un peu comme le parti socialiste en France » Troll
[^] # Re: Nos ?
Posté par bubar🦥 (site web personnel) . Évalué à 2.
Vus les sites spécialisés qui tournent bien, et qui se payent le culot de mettre à jour régulièrement leur vitrine de trucs volés, c'est loin d'être le premier a être "capable" de voler des données privées sur un iTruc...
Là, c'est juste que c'est un "chercheur en sécurité", officiel, avec une cravate, et pas un ado russe qui veut se faire un peu de fric pour payer un voyage à venise à sa copine. C'est tout.
[^] # Re: Nos ?
Posté par pasScott pasForstall . Évalué à -10.
Ben d'un autre cote, les données des androids si chers au libristes sont deja aux mains des botnets et autres virus qui commencent a infecter le market de google, donc on pourrait comprendre que certains se réfugient chez apple pour un peu de sécurité.
If you can find a host for me that has a friendly parrot, I will be very very glad. If you can find someone who has a friendly parrot I can visit with, that will be nice too.
# Mais...
Posté par Arthur Geek (site web personnel) . Évalué à 2.
Mais où est Charlie?
Prochainement, je vous proposerai peut-être un commentaire constructif.
[^] # Re: Mais...
Posté par Marotte ⛧ . Évalué à 5.
Je dirais "dans ton cul" mais je m'abstiendrai.
[^] # Re: Mais...
Posté par Maclag . Évalué à 8.
En taule, ce sale pirate terroriste pédophile mangeur d'enfants!
Il a osé sous-entendre qu'il pouvait y avoir des failles de sécurité dans iOS!
-------------> [ ]
[^] # Re: Mais...
Posté par vincent LECOQ (site web personnel) . Évalué à 2.
il est la : http://www.chipworks.com/images/content-images/galleries/silicon-art-4/waldo_l.jpg
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.