Journal Une exploitation massive de failles dans iOS depuis plus de 2 ans

Posté par (page perso) . Licence CC by-sa.
29
31
août
2019

Google a publié, via le blog de projet zero, une analyse détaillée de plusieurs failles iOS qui ont été exploitées pendant plus de 2 ans pour récupérer massivement des données sur des milliers de terminaux :
https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html?m=1

Je ne sais pas vous, mais j'avais pour ma part l'image d'une plateforme assez solide niveau sécurité. L'analyse des failles montre qu'en fait, c'est loin d'être le cas.

À noter que plusieurs failles sont dans Safari, il semblerait qu'un bon moyen de se protéger sur un iPhone soit d'utiliser un navigateur alternatif (à condition de ne pas être déjà compromis…).

D'autre part, la majeure partie des failles aurait été évitées en codant en Rust (mais aussi découvertes avec du fuzzing ou même dans certains cas de bons outils d'analyse statique).

  • # pas solide niveau sécurité ?

    Posté par (page perso) . Évalué à 6 (+5/-0).

    Mouais, ils exploitent des failles quand même assez tordues, ou tu n'as pas lu les articles…

    • [^] # Re: pas solide niveau sécurité ?

      Posté par (page perso) . Évalué à 4 (+3/-1).

      En quoi sont elles tordues par rapport à n'importe quelle autre faille dans des projets sérieux ?

      Même si elles étaient "tordues" (pas sûr de ce que ça veut dire … dures à exploiter ? Spectre/Meltdown me semblent plus dur à exploiter !) ça ne me paraît pas une mesure pertinente.

      Pour évaluer la sécurité d'une plateforme, il faut regarder la qualité du design et du code mais aussi la réponse à la découverte de failles et les efforts pour détecter d'éventuels exploits. C'est sur ce dernier point que l'article m'inquiète. Il semblerait que les failles aient été largement exploitées pendant longtemps sans que ce soit détecté.

    • [^] # Re: pas solide niveau sécurité ?

      Posté par . Évalué à 7 (+5/-0).

      Encart sur https://www.01net.com/actualites/des-dizaines-de-milliers-d-utilisateurs-d-iphone-pirates-via-des-sites-web-pieges-depuis-des-annees-1758281.html :

      Apple épinglé pour la qualité de son code

      À plusieurs reprises, Ian Beer profite de ses explications techniques pour mettre des claques à Apple. L’une des failles révélées résidait dans une librairie dédiée aux communications interprocessus (IPC). « Il est difficile de comprendre comment cette erreur pouvait se trouver dans une librairie IPC de base livrée aux utilisateurs finaux. Bien que les erreurs soient courantes dans le développement de logiciels, des erreurs sérieuses comme celle-ci auraient dû être rapidement détectées par un test, une révision de code ou même un fuzzing. C’est particulièrement regrettable, car cet emplacement serait naturellement l’un des premiers qu’un attaquant regarderait », explique le chercheur en sécurité.
      Dans un autre cas, la faille se trouvait dans le code d’une fonctionnalité système dont le développement n’était pas terminé. Là encore, un simple test aurait suffi pour la détecter. « Pour être clair, s’il y avait eu un test sur un appel système avec les arguments attendus, cela aurait provoqué une erreur dans le noyau (kernel panic). Si un développeur Apple avait tenté d’utiliser cette fonctionnalité pendant ces quatre années, son téléphone serait immédiatement tombé en panne », explique Ian Beer.

    • [^] # Re: pas solide niveau sécurité ?

      Posté par . Évalué à 1 (+0/-1).

      2 ans. des milliers de devices iOS concernés. C'est vraiment un truc de malade…

  • # failles

    Posté par . Évalué à 1 (+5/-6).

    Pour moi, c'est pas le nombre de failles ou la durée avant leur découverte qui est importante (le Libre n'est pas épargné par des failles de +20ans par exemple…)
    Le GROS problème d'iOS et d'Apple est qu'il ne paie pas assez les bug bounty. Une "bonne" faille iOS (accès root en remote par exemple) se négocie en MILLIONS de $ et Apple ne file des bug bounty qu'en centaines de milliers. Ils sont sur un facteur 10 de ce que ça vaut réellement…
    Fatalement, les gens qui en trouvent des belles ne sont carrément pas motivés à les faire corriger par l'éditeur.

    • [^] # Re: failles

      Posté par . Évalué à 10 (+19/-5). Dernière modification le 31/08/19 à 13:16.

      Fatalement, les gens qui en trouvent des belles ne sont carrément pas motivés à les faire corriger par l'éditeur.

      Ne soyons pas hypocrite : si tu n'es pas motivé par quelques centaines de milliers de dollars pour une découverte que tu as faite, c'est que tu vas la revendre plus cher sur un black market à des pirates qui vont l'utiliser pour pourrir la vie de plein de gens.

      Ça s'appelle n'avoir aucun scrupule et Apple n'y est pour rien.

      PS. Ça aurait été différent si tu avais dit que le tarif des bug bounty d'Apple ne motive pas les gens à chercher des failles.

      • [^] # Re: failles

        Posté par . Évalué à 3 (+4/-3).

        Y’a pas que les black markets qui achètent des failles iOS très cher… des boîtes de sécu, des gvt, des services de police, etc

        La proposition d’Apple est vraiment sous-cotée même pour un type qui a un minimum de morale

      • [^] # Re: failles

        Posté par . Évalué à 8 (+6/-0).

        Bof. Le respect des données personnelles, que ce soit chez GAFAM, chez les flics ou chez les pirates, j'ai la curieuse impression que c'est de plus en plus la catastrophe, avec une porosité entre les trois (comprendre : les GAFAM n'ont aucun scrupule à collaborer avec des gouvernements qui utilisent des techniques de pirates pour fliquer leur population). Si on parle de faire du business avec une faille, autant aller au plus offrant.

        THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

        • [^] # Re: failles

          Posté par . Évalué à 6 (+4/-0).

          En meme temps quand tu es présent dans un pays, tu te dois de respecter la Loi locale, non ?

          Ca serait pire, de mon point de vue, si les géants du web se mettaient a faire ce qu'ils veulent dans n'importe quel pays.

          • [^] # Re: failles

            Posté par . Évalué à 8 (+6/-0). Dernière modification le 03/09/19 à 00:43.

            En meme temps quand tu es présent dans un pays, tu te dois de respecter la Loi locale, non ?

            Telle quelle cette phrase ne veut pas dire grand chose.

            "Quand tu es dans un pays, il vaut mieux respecter la loi locale, parce que tu risques une peine si tu te fais prendre" : conseil de bon sens.

            "Quand tu es dans un pays, tu as l'obligation morale d'en respecter toutes les lois" : vaste débat.

            Ca serait pire, de mon point de vue, si les géants du web se mettaient a faire ce qu'ils veulent dans n'importe quel pays.

            Tu n'as pas l'impression qu'ils font déjà un peu ce qu'ils veulent, certes pas complètement ? Et, même quand ils font ce que veut le gouvernement, ce n'est guère mieux.

            THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

            • [^] # Re: failles

              Posté par . Évalué à 3 (+4/-3).

              "Quand tu es dans un pays, tu as l'obligation morale d'en respecter toutes les lois" : vaste débat.

              Oui c'est un vaste débat. Et c'est pour ça que d'un point de vue dipomatique, il est depuis trèèèèèès longtemps considéré qu'à partir du moment ou un gouvernement est reconnu comme tel, on se doit de ne pas faire d'ingérence.
              Et d'un point de vue économique, une société peut s'installer à peu près ou elle veut pour faire du business mais elle respecte les lois locales. Et si ce n'est pas en accord avec ses valeurs alors elle se casse.
              Et je ne vois pas ce qui autoriserait une entreprise à ne pas respecter les lois en Chine sous prétexte que le gouvernement chinois est totalitaire… Pour notre "valeur morale" supérieure ? MOUARF…
              Et si demain, une société bangladaise vient en France et y emploie des enfants car elle estime qu'il est immoral d'empêcher les enfants d'aider financièrement leur famille ? Tu réponds quoi ?
              J'exagère évidemment dans la comparaison mais c'est pour pointer du doigt que nos valeurs occidentales sont loin d'être partagées par tous. Et même d'un pays occidental à un autre, il peut y avoir de sacrées différences (genre sur la pudeur entre la France et les USA par exemple…)

              Autre exemple plus sérieux : je trouve aberrant qu'on tombe sur le dos de Google lorsque celui-ci se plie aux demandes de censure du gvt chinois. Pourquoi ? Car nous aussi on a des lois qui censurent des trucs comme la pédophilie et le négationnisme. Voudrait-on vraiment que Google facilite l'accès a du contenu négationniste ou pédophile ?
              Alors en quoi NOTRE censure serait-elle plus légitime que celle des Chinois ?

              Tu n'as pas l'impression qu'ils font déjà un peu ce qu'ils veulent, certes pas complètement ? Et, même quand ils font ce que veut le gouvernement, ce n'est guère mieux.

              Ben, comme n'importe qui, ils essayent d'être systématiquement au bord de la ligne rouge tant que ça peut représenter un avantage quelconque. Et de temps en temps, ils passent un pied de l'autre coté et ils continuent tant que personne ne leur claque le beignet… Mais, pour moi, ça reste assez léger pour l'instant (ou du moins assez limite pour qu'ils s'en sortent quand on leur tombe dessus)

              • [^] # Re: failles

                Posté par . Évalué à 7 (+6/-1).

                Ça ne me surprend pas qu'une entreprise respecte, ou donne l'impression de respecter, les "valeurs" d'une société dans laquelle elle fait des affaires : les consommateurs font la grimace, sinon.

                Mais je crois que tu confonds "valeurs" et "lois". L'inflation de dispositifs légaux et techniques destinés à surveiller et censurer Internet ne répond pas directement à une "valeur morale" exigée par les sociétés européennes : les gens veulent vivre en pays dans un pays sans attentats (ce qui est probablement une valeur très partagée à travers le monde), et le système politique exploite ce souhait légitime pour justifier la mise en place de dispositifs qui peuvent et vont servir à autre chose.

                Il y a beaucoup plus de mou, de variable et d'influence dans le système, que tu sembles le penser.

                Les entreprises se permettent des libertés avec certaines lois (protection de la vie privée, vente liée..), parce qu'il n'y a pas de volonté politique forte de défendre certains droits chez les citoyens. A contrario, elles sont très serviables quand la loi leur demande de censurer, quitte à trancher un peu plus large.

                Je sais de quoi je parle,mon compte Twitter a été bloqué pour avoir relayé cet article : https://www.liberation.fr/checknews/2019/05/28/que-voit-on-sur-la-video-des-gilets-jaunes-devant-la-maison-de-marlene-schiappa_1730149

                Concrètement : on est censurés par des automatismes et/ou des gens sous-payés qui sont plus enclins à voir du terrorisme dans la remise en question du gouvernement, que dans la propagande raciste sur "le grand remplacement".

                Ce n'est pas étonnant : L'avant-garde en matière de censure et de surveillance sont des pays peu respectueux de la liberté d'expression, et ce sont leurs demandes qui structurent les outils des multinationales.

                Plus concrètement encore, ça donne ça :
                https://www.vice.com/en_us/article/a3xgq5/why-wont-twitter-treat-white-supremacy-like-isis-because-it-would-mean-banning-some-republican-politicians-too

                Voilà comment fonctionnent les entreprises, en vrai.

                Si on se tourne vers ce que font les états, c'est encore pire. En théorie, on a des lois qui ressemblent à nos valeurs, et un état qui fait appliquer ces lois.
                En pratique, c'est Belloubet qui ouvrait grand sa gueule pour lancer la justice à l'assaut des gilets jaunes, qui nous explique aujourd'hui qu'elle peut/veut rien faire concernant l'affaire Epstein et ses complices français. Touchez aux gamins, pas aux ronds-points. Évidemment, c'est une question de classe sociale et d'intérêts politiques.

                Donc bon, valeurs de la société = lois de l'état = décisions des entreprises, c'est très simpliste.

                THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

                • [^] # Re: failles

                  Posté par . Évalué à 4 (+3/-1).

                  valeurs de la société = lois de l'état = décisions des entreprises, c'est très simpliste.

                  Je suis globalement d'accord avec toi sur le principe… mais même si ça a beau être simpliste, on a pas d'autre moyen de mieux "apprécier" les valeurs d'un peuple.
                  Et que le gvt soit pourri ou non, c'est lui qui détient la force de l'Etat.
                  Aux dernières nouvelles, aucune entreprise au monde ne dispose d'armée privée capable de créer un rapport de force physique avec les Etat donc elles sont soumises aux lois. Et surtout à celles qui sont appliquées…
                  Au final, que les valeurs d'un peuple soient correctement transcrites dans les lois et correctement appliquées par le gvt ou non, on s'en fout en vrai puisque ce qui fait foi, c'est la loi et surtout son application.

                  Mais le débat n'est pas tellement là. Moi, je dis que demander aux entreprises de se conformer aux lois locales ne peut pas être à géométrie variable. On ne peut pas leur dire "suivez NOS règles dans notre pays ou il vous en coutera" et en même temps "Ne suivez PAS les règles de la Chine car ce sont des salauds".
                  Sinon, on s'expose à 2 problèmes : soit les entreprises ne vont suivre aucune règle nulle part. Soit les entreprises chinoises (et ailleurs) feront chez nous comme nos entreprises font en Chine (et ailleurs).
                  Dans les 2 cas, ce n'est pas ce qu'on veut.

                • [^] # Re: failles

                  Posté par . Évalué à 5 (+3/-0).

                  Oui, et quand une grosse entreprise se permet d’avoir leur propre morale à elle et fait du lobbying suivant leur morale, ont leur chie dans les bottes. Parce que voyez vous, c’est un scandale, ils ont pas les mêmes opinions que moi, et d’où qu’ils se permettent d’influencer les lois d’un pays, bande de sauvage ingérants.

                  donc oui, je préfère de tres loin que les grosses boites se contentent d’appliquer les lois d’un pays à la lettre, sans tenter de décider quelles sont les valeurs du pays en question. Parce que je suis à peu près sûr qu’une bonne partie des français ne sont pas d’accords avec tes valeurs à toi que t’as.

                  Linuxfr, le portail francais du logiciel libre et du neo nazisme.

            • [^] # Re: failles

              Posté par . Évalué à 3 (+1/-0).

              "Quand tu es dans un pays, tu as l'obligation morale d'en respecter toutes les lois" : vaste débat.

              et quand ils ne respectent pas les lois du pays, mais celle que t’aimes bien, c’est un scandale, ils font de l’ingerence, ces mega corporations se croient au dessus des états et de leur citoyens.
              On peut pas gagner à ce jeu, dis moi.

              et accuser apple de collaborer sans scrupules avec les gouvernements quand ils ont envoyé bouler le FBI dans l’affaire de San Bernardino, c’est gonflé quand même. Ils se plient aux lois applicables, quand ils n’ont aucune obligation légale de collaborer, ils ne le font pas.

              Linuxfr, le portail francais du logiciel libre et du neo nazisme.

              • [^] # Re: failles

                Posté par (page perso) . Évalué à 1 (+2/-3).

                ils ont envoyé bouler le FBI dans l’affaire de San Bernardino, c’est gonflé quand même. Ils se plient aux lois applicables, quand ils n’ont aucune obligation légale de collaborer, ils ne le font pas.

                Ils ont fait ça pour UNE affaire. C'est de la pure communication. Derrière ça ils se sont probablement fait taper bien fort sur la gueule (en privé) puisque la totalité des entreprises américaines à l'obligation absolue de collaborer et de ne pas mettre de freins (sinon les risques sont énormes pour les contrevenants car sécurité de l'état blabla-pipeau). Les quelques personnes qui ont tenté de jouer au con sont dans la merde jusqu'au cou. Les dirigeants d'Apple ne sont pas dans la merde donc…

                Certains émettent l'hypothèse que ça a été fait en accord avec le FBI pour que tout le monde pense qu'utiliser Apple te met à l'abri.

                • [^] # Re: failles

                  Posté par . Évalué à 4 (+3/-0).

                  C'est de la pure communication. Derrière ça ils se sont probablement fait taper bien fort sur la gueule (en privé) puisque la totalité des entreprises américaines à l'obligation absolue de collaborer et de ne pas mettre de freins (sinon les risques sont énormes pour les contrevenants car sécurité de l'état blabla-pipeau). Les quelques personnes qui ont tenté de jouer au con sont dans la merde jusqu'au cou. Les dirigeants d'Apple ne sont pas dans la merde donc…

                  Gni ? Ça sort d'où ça ?

                • [^] # Re: failles

                  Posté par . Évalué à 2 (+2/-2).

                  "Regardez, ils sont là. Ils sont dans les campagnes, dans les villes. Ils sont sur les réseaux sociaux"

                • [^] # Re: failles

                  Posté par . Évalué à 9 (+8/-1).

                  Oui, Apple répond aux subpoena fédérales comme la loi les y oblige. Ils répondent aussi aux requêtes secrètes anti terroriste couplées d’un gag order comme la loi les y oblige. S’ils refusent, ca va finir devant un tribunal fédéral, et meme le 9th circuit va leur dire « vous êtes mignons avec votre morale, mais le Congress a passe ces lois, et ca change pas grand chose que vous ayez 200 milliards à la banque. Dura lex, sed lex ».
                  C’est pas comme s’ils pouvaient se retirer du marché us, hein.

                  Par contre, quand la constitution dit que le premier amendement est de leur côté, ils ont prit la décision de se mettre grosso modo la moitié du pays à dos (les républicains detestent qu’on se mette face aux forces de l’ordre, surtout quand il s’agit de se ranger du côté d’un fondu islamiste qui a mitraillé au hasard. Si tu me crois pas, regarde comment ils réagissent quand un joueur de football se met à genoux pendant l’hymne national). Même les démocrate ont probablement eu du mal à avaler la pilule vu le contexte, pour être tout à fait honnête.

                  donc oui, quand je lit qu’apple « n’a aucun scrupule à collaborer avec les gouvernements qui utilisent des techniques de pirates pour fliquer leur population », je répond « foutaises ». Leurs actes contredise directement ca. Ils auraient pu donner au FBI ce qu’ils voulaient, et personne n’aurait rien su.

                  Certains émettent l'hypothèse que ça a été fait en accord avec le FBI pour que tout le monde pense qu'utiliser Apple te met à l'abri.

                  oui, et d’autres émettent l’hypothese que la terre est plate. Si t’as pas de source serieuse à citer sur le sujet, je te serais gré de la fermer.
                  Vu la culture du secret d’apple, et vu mon expérience a bosser régulièrement avec eux, je vais pas me faire de mouron et partir du principe que tu racontes n’importe quoi.

                  le fbi a mieux a foutre que de cramer 2 millions dans un exploit pour accéder à un téléphone qui n’avait clairement rien d’incriminant vu que le gars avait prit la précaution de désactiver toute synchro iCloud en premier lieu. Et c’est pas comme si le FBI avait besoin d’accéder au téléphone pour prouver que le gars était coupable en premier lieu. Ils ont surtout vu une opportunité de créer un précédent pour avoir un accès local aux téléphone pour des affaire vachement moins médiatiques.

                  Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                  • [^] # Re: failles

                    Posté par (page perso) . Évalué à -2 (+0/-4).

                    Si t’as pas de source serieuse à citer sur le sujet, je te serais gré de la fermer.

                    Agressivité = niveau zéro de l'argumentation.

                    Qu'est ce qui fait que les autres ne sont pas des sources sérieuses, et toi tu en es une ?
                    Tu bosses au FBI ou tu es CEO d'Apple ?

                    Tu te bases sur des choses qui te semblent bonnes, jusque là très bien. Mais tu n'acceptes pas que d'autres personnes se basent sur d'autres choses (qui sont tangibles et que tu confirmes en grande partie dans ton argumentation, tu as un soucis de cohérence).

                    • [^] # Re: failles

                      Posté par . Évalué à 8 (+6/-0).

                      La charge de la preuve est à celui qui émet des hypothèses.
                      J’ai pas émit d’hypothèse que je sache:

                      • j’ai rappelé que Apple a une obligation de répondre aux subpoena (assignation à comparaître?) pour les données qu’ils possèdent
                      • j’ai remarqué que l’argument « c’est juste de la comm’ » ne tient pas debout vu le merdier médiatique que cette affaire a généré pour eux
                      • j’ai demandé une source pour ta théorie du complot completement délirante
                      • j’ai fait remarque que je doute tres fortement que tu aies une quelconque source vu la culture du secret d’apple, corroboré par mon expérience (certes personnelle) avec eux. Et comme par hasard, on a toujours pas de sources.
                      • j’ai rajouté une couche d’argumentation sur le fait que ton hypothèse ne tient pas debout, et que la théorie généralement acceptée est que le FBI a tenté d’etablir un précédent en profitant d’une affaire médiatique. Ah si, j’ai Emir une hypothèse ici, et j’ai effectivement pas sourcé ca, donc voila: https://en.wikipedia.org/wiki/FBI–Apple_encryption_dispute. L’article résume bien la situation, et est plein de référence.

                      pour élaborer un peu plus sur le sujet.
                      Déjà, c’est pas UNE affaire comme tu dit, mais une douzaine. Celle ci a prit le feu médiatique parce qu’attaque terroriste (ce point est important).

                      Ensuite, le truc c’est que jusqu’à ios 7, c’était pas particulièrement compliqué de peter un iPhone avec un accès physique. En tout cas pas pour une agence gouvernementale. iOS 8 et suivant, si le téléphone est configuré pour niquer les clés, tu peux franchement pas faire grand chose. Tout est encrypté en aes et SecureEnclave s’assure que les clés ne sortent pas du chip, avec des protections à la fois soft et hard la dessus.
                      Vu le design du système, il est physiquement impossible pour Apple de faire quoi que ce soit pour débloquer le téléphone avec une version publique d’ios.

                      ça emmerde le FBI ca, forcement. Le directeur du FBI lui même l’a dit. L’objectif ici était pas tant d’accéder a ce téléphone particulier, mais de créer une jurisprudence obligeant Apple à écrire une version d’ios, signée comme il faut pour qu’elle s’installe sans niquer les clés, qui leur permet de désactiver toutes ces protections.
                      Ils ont utilisé pour ca le all writs act, qui permet à un juge d’obliger un citoyen de collaborer avec le gouvernement. Ils se sont dit que la pression médiatique ferait plier tim pomme.
                      Couple ca avec une requête par enquête, et le FBI a effectivement forcé apple à casser iOS, et à rendre le chiffrement côté client inutile.
                      Si Apple le fait, maintenant google, Microsoft et quiconque vient derrière est aussi obligé de le faire.

                      Un juge peut alors forcer quiconque à collaborer et à écrire du code qui désactive toutes les protections. Et pour ça, il suffit que les flics demandent, et prouvent qu’ils arrivent pas à débloquer le téléphone. Tu le voit l’interet pour le FBI?

                      Même ton hardware va utiliser un driver, un firmware, du microcode ou quelque chose. Un juge peut te forcer à écrire un driver qui désactive tout, et te forcer à le signer pour qu’il s’installe même sur ton boot loader super sécurisé. A moins de fondre la logique directement dans le silicium (chose que bien évidemment personne ne va jamais faire), le précédent que ça établit est que le chiffrement est complètement inutile face à une agence gouvernementale.

                      La parade est dans le premier amendement: le gouvernement ne peut pas forcer qui que ce soit à exprimer une quelconque opinion. Le logiciel étant couvert par le premier amendement, la position d’apple était que la requête n’était pas raisonnable.

                      le FBI a finit par laisser tomber quand il se sont rendus compte qu’apple ne bougerait pas, et que la jurisprudence allait finir dans l’autre sens: entériner le fait que le gouvernement ne peut pas exiger d’une entreprise qu’elle écrive du code pour casser son propre produit.

                      donc oui, quand je lit qu’apple collabore sans scrupule avec le gouvernement, je dit foutaise.

                      Linuxfr, le portail francais du logiciel libre et du neo nazisme.

    • [^] # Re: failles

      Posté par . Évalué à 10 (+16/-3). Dernière modification le 01/09/19 à 05:35.

      C'est un peu comme ces connards qui demandent aux agriculteurs de produire des légumes alors qu'ils pourraient se faire des couilles en or avec des plans de coca.

  • # Seulement WebKit sur IOS

    Posté par . Évalué à 10 (+18/-0). Dernière modification le 31/08/19 à 13:19.

    À noter que plusieurs failles sont dans Safari, il semblerait qu'un bon moyen de se protéger sur un iPhone soit d'utiliser un navigateur alternatif (à condition de ne pas être déjà compromis…).

    Il n'y a qu'un seul moteur de navigateur autorisé sur IOS : le moteur de Safari, WebKit. Tous les navigateurs soit disants alternatives ne sont que des interfaces graphiques différentes pour WebKit. Il n'y a donc aucun contournement possible quand il y a une faille dans WebKit. Et plein d'applis qui ne sont que des PWA inclues sous forme d'appli sont forcément affectées aussi par ces failles qui sont effectivement particulièrement sévères.
    En étant cynique, on pourrait voir ici une pression de la part de Google sur Apple pour autoriser d'autres moteurs de navigateur. Ou alors ce serait pour faire de la mauvaise publicité sur la sécurité d'IOS, considérée actuellement comme étant la référence.

    • [^] # Re: Seulement WebKit sur IOS

      Posté par (page perso) . Évalué à -2 (+3/-7).

      Y'a as de Firefox pour iOS ?! Je tombe des nues !

      • [^] # Re: Seulement WebKit sur IOS

        Posté par (page perso) . Évalué à 8 (+7/-0). Dernière modification le 31/08/19 à 23:24.

        Si, mais, pour les raisons précédemment citées, il s'appuie sur WebKit au lieu de Gecko

        Toolkit Atlas : pour facilement ajouter une interface graphique à vos programmes (voir page perso) !

        • [^] # Re: Seulement WebKit sur IOS

          Posté par (page perso) . Évalué à 5 (+8/-5).

          J'ignorais ça. Du coup effectivement, ça aide pas … C'est vraiment stupide comme limitation !

          • [^] # Re: Seulement WebKit sur IOS

            Posté par (page perso) . Évalué à -8 (+8/-18).

            La seule chose stupide ici est de considérer, par facilité intellectuelle, une chose qu'on ne comprend pas comme stupide, plutôt par exemple de se demander puis, rêvons, demander, si on n'a pas réussi à comprendre par quelques recherches sur le sujet, pourquoi l'entreprise la plus riche du monde le fait.

            • [^] # Re: Seulement WebKit sur IOS

              Posté par . Évalué à 4 (+3/-1).

              A ce propos, est-ce que quelqu'un a un lien qui donne la position de Apple, exprimée directement par Apple, à ce propos ?

              Moi aussi je veux éviter de faire un procès d'intention, mais force est de reconnaître que c'est pas facilement (pas du tout ?) trouvable sur le grand ternet, au contraire des sites qui détaillent les limitations.

              En faisant ma petite recherche, je suis d'ailleurs tombé là-dessus :
              https://www.howtogeek.com/184283/why-third-party-browsers-will-always-be-inferior-to-safari-on-iphone-and-ipad/

              Problème : ça date de 2014. Par contre ce qui est expliqué fait froid dans le dos. Non seulement les autres fournisseurs de navigateur doivent utiliser le moteur webkit, mais en plus, au moins à l'époque, ils n'avaient pas le droit d'utiliser la version rapide du moteur javascript.

              Le seul point que je comprenne, c'est que l'on doivent le garder comme navigateur par défaut, puisque ça permet de bien contrôler son comportement dans certains cas. Et encore…

              Pour info, je suis utilisateur de Blackberry sur iOS, qui fournit aux entreprises une suite logicielle aux grandes entreprises. Et là ils ont été obligé de créer leur propre navigateur (sans doute également basé sur Webkit, hein) pour pouvoir isoler les activité pro et perso.

              • [^] # Re: Seulement WebKit sur IOS

                Posté par . Évalué à 5 (+3/-0).

                Je trouve ça :

                iOS security restrictions chosen by Apple (specifically the inability to set writable pages executable, which is essential for just-in-time compilation) https://en.wikipedia.org/wiki/Firefox_for_iOS
                et
                Some platforms (e.g. iOS, smart TVs, game consoles) prohibit write access to executable memory for non-privileged applications, and it has thus been impossible to use V8 there so far; https://v8.dev/blog/jitless

                Bon, je ne m'y connais pas plus que ça en sécurité donc je n'utiliserai pas "stupide" mais par contre leur limitation pour raisons de sécurité semble avoir comme effet collatéral de fournir un joli SPOF.

                Sinon, là ce n'est peut-être pas le cas mais le fait que ça soit "l'entreprise la plus riche du monde" n'empêche pas (au contraire ?) qu'ils auraient pu le faire juste pour des raisons anticoncurentielles. On a vu pire dans l'ancienne entreprise de "l'homme le plus riche du monde de 1996 à 2007, ainsi qu'en 2009, et de 2014 à 2016". Je vois pas bien ce que ça vient chercher là.

            • [^] # Re: Seulement WebKit sur IOS

              Posté par . Évalué à 9 (+7/-0).

              Vu que le journal parle de sécurité et de failles exploités de webkit, il semble assez logique de dire que, du point de vue sécurité qui n'a rien a voir avec le coté commercial, c'etait bien une décision débile comme le démontre ce qui vient de se passer.

            • [^] # Re: Seulement WebKit sur IOS

              Posté par . Évalué à 1 (+0/-0).

              Apple ne veut pas que du code trouvé n'importe où soit exécuté dans iOS, sauf le javascript lancé dans le moteur maison soi-disant protégé.

              Avec ce principe, il est impossible de faire un moteur pour un navigateur.

              Après certaines app peuvent lancer du code, et je ne sais pas pourquoi elles ont réussi à être présentes sur le store d'Apple :

              http://omz-software.com/pythonista/
              https://apps.apple.com/fr/app/swift-playgrounds/id908519492 (fait par Apple)

              • [^] # Re: Seulement WebKit sur IOS

                Posté par . Évalué à 4 (+2/-0).

                C’est pas interdit de faire tourner du code dans une appli. C’est parfaitement accepté (et même courant), de balancer du js dans le bundle et de faire tourner ca. Reactnative fonctionne comme ça, et passe son temps à balancer du js à jsc.

                par contre:
                - Le code exécuté doit soit être une resource statique, soit ne pas modifier substantiellement le comportement de l’appli (cesr ce qui permet à swift playgrounds de s’en sortir)
                - les pages mémoires ne peuvent pas être rwx, ce qui interdit de fait du jit et limite beaucoup les performances.

                Linuxfr, le portail francais du logiciel libre et du neo nazisme.

            • [^] # Re: Seulement WebKit sur IOS

              Posté par (page perso) . Évalué à 6 (+6/-3).

              pourquoi l'entreprise la plus riche du monde le fait

              Pour tuer la concurrence et s'enrichir? La raison du plus riche n'est pas toujours la meilleure !

              Incubez l'excellence sur https://linuxfr.org/board/

            • [^] # Re: Seulement WebKit sur IOS

              Posté par . Évalué à 5 (+4/-1).

              Non ce n'est pas stupide, évidemment. Du point de vue d'Apple, leur OS et leurs développeurs sont les meilleurs, donc ça sera forcément moins sécurisé d'utiliser autre chose, de concurrent. Un peu comme le Titanic qui était insubmersible, du coup ce n'était pas nécessaire de mettre suffisamment de canots de sauvetage dedans.

  • # Merci la Chine

    Posté par . Évalué à 3 (+6/-4).

    https://9to5mac.com/2019/09/01/china-iphone-attack-uyghur-muslims/

    c'est orchestré par l'état Chinois contre sa population musulmane du Ouïgoure

    • [^] # Re: Merci la Chine

      Posté par . Évalué à 6 (+5/-0).

      "Par ailleurs, l'iPhone n'était pas le seul type de terminal touché. Forbes indique que, selon ses sources, les piratages concernaient également les terminaux Android et les PC sous Windows. Ces appareils étaient infectés via les mêmes sites que ceux contaminant les iPhone."

      https://www.igen.fr/iphone/2019/09/piratages-diphone-les-ouighours-vises-android-et-windows-seraient-aussi-concernes

      vous avez iOS vous êtes patché depuis février avec iOS 12.1.4 (iOS 12.x installé sur plus de 85% du parc à ce jour)
      pour android…

      • [^] # Re: Merci la Chine

        Posté par (page perso) . Évalué à 5 (+2/-0).

        Pour le coup, j'ai plus confiance dans le project zero que dans forbes pour signaler s'il y a des failles qui traînent.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Merci la Chine

          Posté par . Évalué à 3 (+2/-0).

          Je commence à avoir de sérieux doutes sur l'objectivité du projet Zero, c'est vraiment dommage, car ce type de projet c'est bon pour tous.
          Je suppose que Google project zero ne peut pas parler objectivement des failles qu'il trouve dans Android, car Google est dans l'incapacité de patcher rapidement ou même simplement. On ne peut pas parler de failles si l’on n’a pas envoyé de patch, cela serait catastrophique.
          Apple est dans la capacité de fournir des patch au plus grand nombre et du coup on peut parler des failles trouvées.

          ici on parle d'Android
          https://www.volexity.com/blog/2019/09/02/digital-crackdown-large-scale-surveillance-and-exploitation-of-uyghurs/

          • [^] # Re: Merci la Chine

            Posté par (page perso) . Évalué à 4 (+2/-1).

            Je suppose que Google project zero ne peut pas parler objectivement des failles qu'il trouve dans Android, car Google est dans l'incapacité de patcher rapidement ou même simplement.

            Google a la capacité de patcher rapidement. Ce sont les constructeurs qui ont le problème. Et Google a intérêt à motiver les constructeurs à le faire rapidement (ça fait des années qu'ils essayent). Ils auraient tout intérêt à en parler justement.

            ici on parle d'Android
            https://www.volexity.com/blog/2019/09/02/digital-crackdown-large-scale-surveillance-and-exploitation-of-uyghurs/

            Qui cite Forbes…

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: Merci la Chine

              Posté par . Évalué à 5 (+4/-0).

              Google a la capacité de patcher rapidement. Ce sont les constructeurs qui ont le problème. Et Google a intérêt à motiver les constructeurs à le faire rapidement (ça fait des années qu'ils essayent). Ils auraient tout intérêt à en parler justement.

              Bien sûr, mais dans la pratique, surtout avec du développement en mode open source, ce n'est pas viable, car le code source patché mais pas distribué c'est du pain béni pour les hackers !!!

              Google a voulu fourrer Android dans le plus de poches possible, quitte à laisser tomber la sécurité, avec la complicité des fabricants de téléphones et aussi des opérateurs téléphoniques. Ça fait 3 couches ! On ajoute là-dessus des téléphones low cost à la limite de la rentabilité, donc des fabricants non motivés pour les mettre à jour, et on obtient un gros parc de téléphones qui ne seront jamais à jour.

              Tout ceci à un cout !

              Apple ne fait pas totalement bien son travail, je parle de la qualité du code, son bug bounty lancé récemment pourrait changer la donne…

              • [^] # Re: Merci la Chine

                Posté par (page perso) . Évalué à 3 (+1/-1).

                Bien sûr, mais dans la pratique, surtout avec du développement en mode open source, ce n'est pas viable, car le code source patché mais pas distribué c'est du pain béni pour les hackers

                Tu sais que c'est déjà le cas ? Il y a plein de faille corrigées chaque mois. Je ne vois pas l'intérêt d'en cacher une.

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                • [^] # Re: Merci la Chine

                  Posté par . Évalué à 2 (+1/-0). Dernière modification le 03/09/19 à 14:48.

                  Oui bien sûr !

                  Là, on est dans un cas de full disclosure avec moult explications, détails…

                  Le principe responsable c'est lorsqu'un tiers trouve une faille, il prévient en privé pour que le mainteneur du code effectue le travail nécessaire, patch et diffusion de mise à jour, avant de publier sa découverte (avec CVS). Cette publication c'est le mode d'emploi de la faille…
                  Le Google Projet Zero laisse 90 jours pour faire le boulot.
                  Je me souviens qu'une fois Microsoft n'avait pas fait le boulot dans les 90 et le GPZ a publié quand même, cela a mis une énorme pression sur Microsoft.

                  Je pense qu'il est plus difficile pour un hacker de repérer qu'une faille a été corrigée (en interne), ou que c'est un simple ajout, ou modification apportée dans le code dans le cadre de l'évolution du logiciel.

                  • [^] # Re: Merci la Chine

                    Posté par (page perso) . Évalué à 3 (+0/-0).

                    Je pense qu'il est plus difficile pour un hacker de repérer qu'une faille a été corrigée (en interne), ou que c'est un simple ajout, ou modification apportée dans le code dans le cadre de l'évolution du logiciel.

                    Sauf qu'il n'y a pas d'évolution dans les releases Android, uniquement des corrections de failles de sécurités. Genre tu prends la branche "oreo-security" et tu as les fix de securité pour oreo.

                    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Merci la Chine

            Posté par . Évalué à 3 (+2/-0).

            Google est dans l'incapacité de patcher rapidement ou même simplement.

            Ce n'est plus tout a fait vrai. Le code d'Android a été beaucoup modularisé depuis une ou deux versions, pour permettre à Google de pousser lui même les mises à jour sa partie de l'OS depuis le playstore. Notamment dans le but de pousser plus vite et pour tous les correctifs de sécurité, sans être dépendant de la bonne volonté du constructeur.

            Charge au constructeur de pousser les mises à jour des drivers et autres morceaux modifiés.

            Mais tout cela n'est pas vrai pour les anciennes versions d'Android… Qui sont probablement encore majoritaires.

    • [^] # Re: Merci la Chine

      Posté par (page perso) . Évalué à 2 (+0/-0).

      sa population musulmane du Ouïgoure
      Tu veux dire du Xinjiang. Les Ouïghours sont les habitants du Xinjiang.

  • # Pourquoi Rust ?

    Posté par (page perso) . Évalué à 10 (+18/-1).

    D'autre part, la majeure partie des failles aurait été évitées en codant en Rust

    N'ayant trouvé aucune référence à Rust dans le lien ni les sous-liens, serait-il possible d'avoir plus d'information sur cette assertion ?
    Pourquoi pas OCaml, Erlang, Haskell, Ada… ?

    Là, ça tombe un peu comme un cheveu sur la soupe

    • [^] # Re: Pourquoi Rust ?

      Posté par . Évalué à 1 (+0/-0).

      Je suppose que cet article peut aider à comprendre, avec la partie "Comparing Rust with C" ?

      https://hub.packtpub.com/rust-is-the-future-of-systems-programming-c-is-the-new-assembly-intel-principal-engineer-josh-triplett/

      Il faudrait avoir l'avis d'un spécialiste ;)

    • [^] # Re: Pourquoi Rust ?

      Posté par . Évalué à 4 (+1/-0).

      La moitié des bugs concernent la gestion de la mémoire. Rust permet de mieux les contrôler.

      OCaml, Erlang, Haskell, Ada ne sont pas des langages systèmes. Il utilise un runtime complexe pour gérer automatiquement la mémoire, et ne permet pas l'accès bas niveau. Rust offre le contrôle sur tout ça.

      "La première sécurité est la liberté"

      • [^] # Re: Pourquoi Rust ?

        Posté par (page perso) . Évalué à 5 (+3/-0).

        Ada ne sont pas des langages systèmes.

        Il suffit de chercher un peu pour pouvoir supposer le contraire. Je ne suis pas du tout spécialiste Ada, mais je regarde pas mal ce qui tourne autour des micro-contrôleurs modernes ou plus classiques, et j'ai quand même l'impression que Ada peut être un langage assez « système ».

        * Ils vendront Usenet^W les boites noires quand on aura fini de les remplir.

        • [^] # Re: Pourquoi Rust ?

          Posté par . Évalué à 3 (+0/-0).

          Non, Ada utilise un runtime pour ça. En gros, ton OS, c'est le runtime écrit en C, qui gère la mémoire et les taches et le scheduling. Je ne suis même pas sûr que tu puisses écrire un driver en Ada.

          De plus, un microcontrôleur n'a pas forcément besoin d'OS. Et même la plus part du temps, il n'y a en pas (l'os sert surtout à partager le temps cpu sur 2 taches ou plus).

          "La première sécurité est la liberté"

          • [^] # Re: Pourquoi Rust ?

            Posté par (page perso) . Évalué à 4 (+2/-0).

            Hum j'ai souvenir d'une série d'articles dans LinuxMag (il y a plusieurs années) sur l'écriture d'un noyau en Ada (et notamment un passage corsé sur la gestion de la mémoire virtuelle). Tu me mets le doute du coup sur comment ça se passe avec le runtime de Ada ; il y a peut être moyen de le désactiver (comme pour la gestion des exceptions en C++).

            • [^] # Re: Pourquoi Rust ?

              Posté par . Évalué à 3 (+0/-0).

              Tu dois pouvoir le désactivé, mais tu ne peux plus utiliser de primitive comme "Task".

              "La première sécurité est la liberté"

    • [^] # Re: Pourquoi Rust ?

      Posté par . Évalué à 2 (+0/-0).

      Tu n’en auras pas, soit l’auteur du journal s’est essayé à une touche d’humour en singeant les novices en RUST (mais c’est valable pour un peut tout les sujets) qui ont une certaine tendance au prosélytisme enthousiasmé, et te caser un en rust ça ne serait pas arrivé même quand tu parles de la crevaison de ta roue sur un tesson de bouteille, soit ce n’était pas de l’humour.

      Depending on the time of day, the French go either way.

  • # c'est loin d'aller dans le bon sens pour iOS

    Posté par . Évalué à 1 (+0/-0).

    https://www.igen.fr/ios/2019/09/ios-cible-privilegiee-des-chercheurs-en-securite-109665

    Le marché des failles 0-day, ces failles qui ne sont pas connues des fabricants, est « inondé » par les vulnérabilités iOS, selon Zerodium. Si bien que cela a poussé cette société qui achète ces failles à offrir des récompenses plus élevées pour les vulnérabilités Android que pour iOS.
    Zerodium verse 2,5 millions de dollars aux chercheurs en sécurité capables de dévoiler comment pirater complètement un terminal Android sans aucune action de l'utilisateur, contre 2 millions de dollars pour le même type d'attaque sur iOS.

  • # réponse d'Apple : on passe de deux ans à deux mois, elle confirme l'attaque ciblée et sophistiquée

    Posté par . Évalué à 0 (+0/-1).

    https://www.mac4ever.com/actu/146475_iphone-apple-dement-un-piratage-de-masse-compromettant-leur-securite

    Apple se défend et dénonce une espèce d’amalgame dans la présentation de Google, laissant faussement croire à un manquement de sécurité . « Cette attaque très sophistiquée était ciblée et n’était pas un exploit à grande échelle [destiné à compromettre] en masse les iPhone, comme il est écrit ».

    D'après moi le Projet Zero perd et crédibilité (proche de zéro ??)

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.