Ouvrir le menu principal

MacGeneration

Recherche

Failles iOS 15 rendues publiques : Apple donne signe de vie

Mickaël Bazoge

lundi 27 septembre 2021 à 23:00 • 27

AAPL

Les chercheurs en sécurité devront-ils communiquer publiquement les failles iOS avant leurs correctifs pour qu'Apple les prenne au sérieux ? Ce n'est pas souhaitable, car la divulgation de vulnérabilités sans qu'un patch n'ait été livré au préalable représente un vrai danger non seulement pour Apple, mais aussi et surtout pour les utilisateurs.

Mais parfois, le constructeur ne donne pas d'autre choix. Denis Tokarev, alias « illusionofchaos », a rendu publique la semaine dernière plusieurs failles de sécurité touchant iOS ; si une d'entre elles a été corrigée dans iOS 14.7, trois autres sont toujours présentes dans iOS 15.

Apple traine toujours autant des pieds pour récompenser les chercheurs en sécurité

Apple traine toujours autant des pieds pour récompenser les chercheurs en sécurité

Tokarev a prévenu Apple de ces trois failles entre le 10 mars et le 29 avril. Il a reçu un accusé de réception au mois d'août, puis plus rien. Le 13 septembre, il prévient qu'il publiera des informations sur ces vulnérabilités à moins que le constructeur revienne vers lui.

Apple a bel et bien répondu… mais après la publication de son billet dévoilant les vulnérabilités en question. « Nous avons vu votre billet à propos du problème et vos autres rapports. Nous sommes désolé pour le délai de réponse », écrit un employé.

Autrement dit, il a fallu que le chercheur fasse du barouf et qu'il soit repris par la presse pour qu'Apple se décide à reprendre contact. Au passage, ce n'est pas sans rappeler ce que les développeurs doivent trop souvent faire pour obtenir des explications sur telle décision de l'App Store.

Quoi qu'il en soit, Apple enquête toujours sur les trois failles en question et sur la manière dont elles pourraient être corrigées. Heureusement, ce ne sont pas des vulnérabilités critiques ; pour qu'elles soient exploitées il faudrait installer une application malveillante, or seul l'App Store peut les distribuer non sans passer auparavant par le tamis d'Apple.

La Pomme a annoncé récemment une amélioration de son programme de chasse aux bugs, et surtout un travail de fond pour s'attirer de nouveau les faveurs des chercheurs en sécurité.

Apple va bonifier son bug bounty pour attirer des chercheurs en sécurité pas très enthousiastes

Apple va bonifier son bug bounty pour attirer des chercheurs en sécurité pas très enthousiastes

Source : Vice

illustration magazine 25 ans

MacGeneration a 25 ans !

Participez à la fête et découvrez l’histoire de votre site favori en précommandant notre magazine exclusif.

Je précommande le magazine

Test des Mac mini M4 et M4 Pro : petits et mignons, mais costauds et économes

20:30

• 1


Amazon brade les accessoires Magic en Lightning, avec de bonnes affaires

17:00

• 14


Molotov TV et Picard victimes de fuites de données : protégez-vous rapidement avec Incogni 📍

16:51


La tasse et la gourde des 25 ans de MacGeneration en images

16:40

• 66


Prévoyez un clavier USB si vous achetez un Mac mini M4 et que vous avez de vieux périphériques Bluetooth

16:15

• 17


Framework joue à RISC-V avec ses cartes

15:30

• 1


Warcraft I et II reviennent, mais pas sur Mac… alors que le Macintosh avait la meilleure version

14:00

• 21


macOS 15.1 bloque totalement certaines applications qui ne sont pas signées et notarisées

13:00

• 53


Windows 11 ARM va améliorer l'émulation du code x86… comme Apple l'a fait avec Sequoia

10:45

• 9


Apple annonce Final Cut Pro 11 avec de nouveaux outils améliorés par l’IA

07:04

• 58


Découvrez les offres Black Friday 2024 sur pCloud : jusqu’à 60% de réduction ! 📍

13/11/2024 à 22:20


Faille critique sur les NAS D-Link : elle ne sera pas bouchée, changez de matériel

13/11/2024 à 21:30

• 77


Molotov victime d’une cyberattaque, 10 millions d’adresses email compromises

13/11/2024 à 18:15

• 58


DaVinci Resolve 19.1 sait exporter des vidéos spatiales

13/11/2024 à 16:26

• 5


Un SSD de 60 To, ça vous dit ?

13/11/2024 à 15:00

• 36


En réponse à B&You Pure fibre, SFR RED baisse un petit peu le prix de son offre fixe

13/11/2024 à 13:00

• 52