Il y aurait tellement de failles iOS que leur valeur aurait baissé, Réactions à la publication du 04/09/2019

[Lionel]

Il n'y a pas si longtemps, on disait qu'une faille 0-day d'iOS valait une fortune, surtout si elle permettait la prise de contrôle sans manipulation de l'appareil.
Zerodium, un décrié commerçant de failles de sécurité, a revu ses grilles tarifaires. Dorénavant les failles Android ont plus de valeur et celles d'iOS ont vu leur récompense revue à la baisse.
Une faille à distance et en 2 clics, la plus intéressante, a vu son prix passer de 1,5 à 1 million de dollars.
Cela est lié à une arrivée massive de failles iOS, elle même liée au fait que des centaines de développeurs se sont lancés à plein temps dans leur recherche. Il y en a tellement que certaines sont même refusées par Zerodium.

En revanche, Android a tellement de versions qu'une faille universelle est pratiquement impossible à trouver et qu'elle devient le graal dans ce domaine.

Voilà l'état actuel des choses. Apple a devant elle un travail colossal pour sécuriser son système et en attendant il faut se faire à l'idée que nos iPhone ne sont pas des bunkers inaccessibles. C'est une mauvaise nouvelle au moment où Apple Pay gagne en popularité et où les appareils iOS sont devenus des supports monétiques.

Lien vers le billet original

[broitman]

Au lieu de SUPPORT monetique, il faudrait ecrire PASSOIRE monetique

[Illiade]

Au lieu de SUPPORT monetique, il faudrait ecrire PASSOIRE monetique

Tu serais bien incapable de nous citer UN SEUL paiement Apple Pay frauduleux pour cause de faille iOS.
Et je ne perds pas de temps à en chercher un : je fréquente quotidiennement un site de Apple Hater Boys qui n’aurait pas manquer de le signaler si c’était déjà arrivé.
Par ailleurs, Apple est tenu à la même garantie que les CB en cas d’utilisation frauduleuse manifeste : remboursement immédiat.

Cela va en faire descendre certains et leurs fanboys de leur piedestal

Non, cela fait juste grimper sur leurs tabourets les membres du Apple Hater Boys Band au son de Si tous les mal-comprenants du monde entier pouvaient se donner la main, on pourrait enfin faire prendre des vessies pour des lanternes.

C’est pour cela que leur campagne protection de la vie privée survendue est fatigante. On peut faire des pubs à longueur de temps mais si c’Est pour que les failles et cette live privée soit accessible à la première société prête à dépenser un peu d’argent pour en récupérer 3 fois plus...

Il y a du progrès, les phrases sont ponctuées : majuscule au début et point à la fin, peut-être une volonté de trop bien faire avec « c’Est », mais on voit par là que les cahiers de vacances avant l’entrée à la grande école sont parfois utiles.
En revanche, si la forme devient acceptable, le fond est toujours aussi médiocre.

Rappel : Apple n’a jamais communiqué sur l’infaillibilité de iOS (ou de macOS), ils ne sont pas aussi ignorants que ceux qui leur prêtent cette campagne médiatique.
Leur message est clair (sauf pour les mal-comprenants) : aucune donnée de votre iPhone (ou de votre Mac) ne sera commercialisée par Apple.

Ce message a été modifié par Illiade - 4 Sep 2019, 15:42.

[reversi]

Rappel : Apple n’a jamais communiqué sur l’infaillibilité de iOS (ou de macOS), ils ne sont pas aussi ignorants que ceux qui leur prêtent cette campagne médiatique.
Leur message est clair (sauf pour les mal-comprenants) : aucune donnée de votre iPhone (ou de votre Mac) ne sera commercialisée par Apple.

Ah bon ?

https://twitter.com/chrisvelazco/status/108...ard-ces-2019%2F

https://www.youtube.com/watch?v=ZwQpPqPKbAw

Apple, régulièrement, se vante d'avoir des OS sûrs (sous entendu, contrairement aux autres) et respectueux de la vie privée. Et régulièrement se prend ensuite des tartes à la crème dans la poire.

Rien que cette année, après le panneau géant de Las Vegas, on a eu :

- la faille dans FaceTime Group qui permettait d'espionner.
- les fichiers audio de Siri qui sont consultés par une société tierce et par des humains. Alors qu'Apple jurait que non, ils n'avaient pas les mêmes pratiques que Google et Amazon pour leur assistant vocal.
- la révélation des failles par le projet Google Zero qui permettait d'espionner.
- la faille qui permettait le jailbreaking qui a été ré-introduite après avoir été corrigée.

et ce sont uniquement les failles médiatiques. Les release notes des Security Update d'iOS présentent un nombre inquiétant de failles qui permettent d'exécuter du code à distance.

Sans parler du fait qu'il est complètement débile de proclament que son OS mobile est sûr pour les données privées quand on autorise et facilite la distribution des applications de sociétés connues pour leurs fuites volontaires ou non des données privées de leurs utilisateurs (e.g. Facebook). Et qu'on fait chier dans le même temps d'autres développeurs pour des détails ridicules d'interface ou d'API privées.

[Illiade]

Leur message est clair (sauf pour les mal-comprenants) : aucune donnée de votre iPhone (ou de votre Mac) ne sera commercialisée par Apple.

Ah bon ?
https://twitter.com/chrisvelazco/status/108...ard-ces-2019%2F

Sauf pour les mal-comprenants… qui sont capables de donner un lien qui illustre cette affirmation, en croyant la contredire.
Cette affiche est une partie de la campagne de Apple/Tim Cook concernant le respect de la vie privée (RGPD en Europe).
N’importe quelle compagnie déclarant nous ne vendons pas les données de nos clients est capable de tenir cet engagement ;
aucune compagnie déclarant les données de nos clients sont inaccessibles ne peut être prise au sérieux.
Alors certes la vie privée est compromise dès lors que la sécurité est atteinte, mais pour la vie privée il s’agit de volonté alors que pour la sécurité il s’agit d’obligation de moyens.

https://www.youtube.com/watch?v=ZwQpPqPKbAw

C’est la seule fois, me semble-t-il, où Apple a communiqué sur les virus.
Pendant des années les commentateurs des sites Mac pestaient parce que Apple n’en parlait pas, alors que cela paraissait un avantage certain.
D’ailleurs, depuis Mac OS X, je n’ai jamais rencontré un Mac équipé d’un anti-virus, et je n’ai jamais rencontré de PC non équipé d’un anti-virus.

Rien que cette année, après le panneau géant de Las Vegas, on a eu :

- la faille dans FaceTime Group qui permettait d'espionner.
- les fichiers audio de Siri qui sont consultés par une société tierce et par des humains. Alors qu'Apple jurait que non, ils n'avaient pas les mêmes pratiques que Google et Amazon pour leur assistant vocal.
- la révélation des failles par le projet Google Zero qui permettait d'espionner.
- la faille qui permettait le jailbreaking qui a été ré-introduite après avoir été corrigée.

Ce sont effectivement des problèmes mais cela ne prouve toujours pas que Apple communique sur l’infaillibilité de ses OS.
Cela dit, je n’ai rien trouvé au sujet de : « Apple jurait que non, ils n'avaient pas les mêmes pratiques que Google et Amazon pour leur assistant vocal. »
Comme c’était écrit dans les conditions d’utilisation (que personne ne lit), j’ai du mal à croire qu’ils aient pu le nier.
Le gros problème, c’est que l'écoute était confiée à un sous-traitant. Google ou Amazon a eu un problème de sous-traitance : un employé sous-payé a vendu des données utilisateurs sensibles (médicales).
Apple a corrigé le tir puisque ce sera désormais des employés Apple qui écouteront, et que ceux qui seront écoutés l’auront accepté volontairement.
La faille jailbreaking, quand bien même elle a été réintroduite, c’est un non-évènement. Il n’y a pas longtemps ça militait pour le jailbreaking pour tous parce que l’iPhone est trop fermé.

On peut surtout leur reprocher de mettre trop de temps à corriger des bugs/failles mis à jour, de même qu’on leur reprochait de ne pas récompenser ceux qui mettaient en évidence des failles graves…
au risque que les chercheurs vendent leurs découvertes au plus offrant.

Sans parler du fait qu'il est complètement débile de proclament que son OS mobile est sûr pour les données privées quand on autorise et facilite la distribution des applications de sociétés connues pour leurs fuites volontaires ou non des données privées de leurs utilisateurs (e.g. Facebook).

Ce qui est complètement débile c’est d’accuser Apple de tous les maux, puis vouloir leur faire jouer le rôle du chevalier blanc. C’est insupportable ces fan boys qui veulent que Apple n’autorisent que les App conseillant cinq fruits et légumes par jour et un moteur de recherche Max Havelaar (qui ne trouve rien).

[reversi]

D’ailleurs, depuis Mac OS X, je n’ai jamais rencontré un Mac équipé d’un anti-virus, et je n’ai jamais rencontré de PC non équipé d’un anti-virus.

Il va falloir commencer à rejeter un coup d'œil à macOS un de ces jours, parce que depuis Snow Leopard, via Gatekeeper et XProtect, il y a un antivirus sur chaque Mac. Il n'est pas surpuissant mais il est là.

Suggestion bis : relire les Habits Neufs de l'Empereur.

Ce message a été modifié par reversi - 6 Sep 2019, 08:01.

[johnstone]

D’ailleurs, depuis Mac OS X, je n’ai jamais rencontré un Mac équipé d’un anti-virus, et je n’ai jamais rencontré de PC non équipé d’un anti-virus.

Il va falloir commencer à rejeter un coup d'œil à macOS un de ces jours, parce que depuis Snow Leopard, via Gatekeeper et XProtect, il y a un antivirus sur chaque Mac. Il n'est pas surpuissant mais il est là.

Suggestion bis : relire les Habits Neufs de l'Empereur.

Je ne pense pas qu'on puisse appeler cela un antivirus... Antimalware, oui, protection contre les apps non-signées, oui, mais antivirus, non, et cela fonctionne très bien comme cela pour l'immense majorité des possesseurs de Mac.