La faille d'iMessage déjà comblée par Apple a été dévoilée, Réactions à la publication du 11/04/2016

[Lionel]

Le mois dernier, lors de sa grande vague de mises à jour, Apple a comblé une faille majeure concernant iMessage. La société en avait été informée par des chercheurs en sécurité qui avaient alors attendu qu'elle soit comblée pour en expliquer la teneur.
Voici une vidéo illustrant cette faille et son exploitation.







Comme vous pouvez le voir, la faille était incroyablement facile à exploiter. Il suffisait d'envoyer un lien contenant un javascript à la victime. Si elle cliquait dessus, son appareil envoyait à un serveur en clair et sans s'en rendre compte le contenu de ses iMessages et leur historique.

Une fois encore cela illustre la difficulté de vouloir concilier sécurité maximale et ouverture propice à proposer des options intéressantes aux utilisateurs. C'est en fait certainement impossible et on en revient à créer des coffres-forts aux parois toujours plus épaisses mais dotés d'une multitude de portes permettant d'accéder à leurs contenus. Or chaque porte est un nouveau maillon faible dont il faut sécuriser au mieux la serrure sans la bloquer.

Lien vers le billet original

[r e m y]

Je n'arrive pas à savoir si la faille a été comblée sur toutes les versions d'OS X ou uniquement sur El Capitan...

D'autre part est-ce que ca touche aussi iMessages sur iPhone? auquel cas, est-ce corrigé sur toutes les versions d'iOS? ou uniquement sur iOS 9 à condition d'installer la toute dernière version?

Autre option, c'est sur les serveurs de Message et iMessage qu'Apple a bouché la faille...

Bref si MacBid arrive à avoir des précisions, ca m'interesse, pour savoir si je suis toujours en risque sur mes appareils, ou pas
car aucun Mac n'est encore passé à El Capitan, et leurs versions d'OS X s'echelonnent de SnowLeopard (pas concerné par Messages) à Yosemite en passant par Mavericks, et plusieurs iPhones à la maison encore sous iOS 7 ou 8.

Ce message a été modifié par r e m y - 11 Apr 2016, 09:40.

[DeaDPooL]

Je n'arrive pas à savoir si la faille a été comblée sur toutes les versions d'OS X ou uniquement sur El Capitan...

D'autre part est-ce que ca touche aussi iMessages sur iPhone? auquel cas, est-ce corrigé sur toutes les versions d'iOS? ou uniquement sur iOS 9 à condition d'installer la toute dernière version?

Autre option, c'est sur les serveurs de Message et iMessage qu'Apple a bouché la faille...

Bref si MacBid arrive à avoir des précisions, ca m'interesse, pour savoir si je suis toujours en risque sur mes appareils, ou pas
car aucun Mac n'est encore passé à El Capitan, et leurs versions d'OS X s'echelonnent de SnowLeopard (pas concerné par Messages) à Yosemite en passant par Mavericks, et plusieurs iPhones à la maison encore sous iOS 7 ou 8.

Cette faille touchait tout spécialement la messagerie sur OS X, mais en activant la fonction de transfert de SMS sur iPhone (Réglages > Messages), elle pouvait également frapper iOS.

Apple détaille la faille (numérotée CVE-2016-1764) dans sa liste des correctifs d'OS X 10.11.4 (des correctifs qui ont aussi été fournis dans la mise à jour de sécurité 2016-002).

Le correctif est uniquement Disponible pour : les versions 10.11 à 10.11.3 d’OS X El Capitan.

Sources : https://support.apple.com/fr-fr/HT206167 et http://www.macg.co/os-x/2016/04/apple-bouc...-messages-93714