Il y aurait tellement de failles iOS que leur valeur aurait baissé, Réactions à la publication du 04/09/2019

[Lionel]

Il n'y a pas si longtemps, on disait qu'une faille 0-day d'iOS valait une fortune, surtout si elle permettait la prise de contrôle sans manipulation de l'appareil.
Zerodium, un décrié commerçant de failles de sécurité, a revu ses grilles tarifaires. Dorénavant les failles Android ont plus de valeur et celles d'iOS ont vu leur récompense revue à la baisse.
Une faille à distance et en 2 clics, la plus intéressante, a vu son prix passer de 1,5 à 1 million de dollars.
Cela est lié à une arrivée massive de failles iOS, elle même liée au fait que des centaines de développeurs se sont lancés à plein temps dans leur recherche. Il y en a tellement que certaines sont même refusées par Zerodium.

En revanche, Android a tellement de versions qu'une faille universelle est pratiquement impossible à trouver et qu'elle devient le graal dans ce domaine.

Voilà l'état actuel des choses. Apple a devant elle un travail colossal pour sécuriser son système et en attendant il faut se faire à l'idée que nos iPhone ne sont pas des bunkers inaccessibles. C'est une mauvaise nouvelle au moment où Apple Pay gagne en popularité et où les appareils iOS sont devenus des supports monétiques.

Lien vers le billet original

[broitman]

Au lieu de SUPPORT monetique, il faudrait ecrire PASSOIRE monetique

[Illiade]

Au lieu de SUPPORT monetique, il faudrait ecrire PASSOIRE monetique

Tu serais bien incapable de nous citer UN SEUL paiement Apple Pay frauduleux pour cause de faille iOS.
Et je ne perds pas de temps à en chercher un : je fréquente quotidiennement un site de Apple Hater Boys qui n’aurait pas manquer de le signaler si c’était déjà arrivé.
Par ailleurs, Apple est tenu à la même garantie que les CB en cas d’utilisation frauduleuse manifeste : remboursement immédiat.

Cela va en faire descendre certains et leurs fanboys de leur piedestal

Non, cela fait juste grimper sur leurs tabourets les membres du Apple Hater Boys Band au son de Si tous les mal-comprenants du monde entier pouvaient se donner la main, on pourrait enfin faire prendre des vessies pour des lanternes.

C’est pour cela que leur campagne protection de la vie privée survendue est fatigante. On peut faire des pubs à longueur de temps mais si c’Est pour que les failles et cette live privée soit accessible à la première société prête à dépenser un peu d’argent pour en récupérer 3 fois plus...

Il y a du progrès, les phrases sont ponctuées : majuscule au début et point à la fin, peut-être une volonté de trop bien faire avec « c’Est », mais on voit par là que les cahiers de vacances avant l’entrée à la grande école sont parfois utiles.
En revanche, si la forme devient acceptable, le fond est toujours aussi médiocre.

Rappel : Apple n’a jamais communiqué sur l’infaillibilité de iOS (ou de macOS), ils ne sont pas aussi ignorants que ceux qui leur prêtent cette campagne médiatique.
Leur message est clair (sauf pour les mal-comprenants) : aucune donnée de votre iPhone (ou de votre Mac) ne sera commercialisée par Apple.

Ce message a été modifié par Illiade - 4 Sep 2019, 15:42.

[reversi]

Rappel : Apple n’a jamais communiqué sur l’infaillibilité de iOS (ou de macOS), ils ne sont pas aussi ignorants que ceux qui leur prêtent cette campagne médiatique.
Leur message est clair (sauf pour les mal-comprenants) : aucune donnée de votre iPhone (ou de votre Mac) ne sera commercialisée par Apple.

Ah bon ?

https://twitter.com/chrisvelazco/status/108...ard-ces-2019%2F

https://www.youtube.com/watch?v=ZwQpPqPKbAw

Apple, régulièrement, se vante d'avoir des OS sûrs (sous entendu, contrairement aux autres) et respectueux de la vie privée. Et régulièrement se prend ensuite des tartes à la crème dans la poire.

Rien que cette année, après le panneau géant de Las Vegas, on a eu :

- la faille dans FaceTime Group qui permettait d'espionner.
- les fichiers audio de Siri qui sont consultés par une société tierce et par des humains. Alors qu'Apple jurait que non, ils n'avaient pas les mêmes pratiques que Google et Amazon pour leur assistant vocal.
- la révélation des failles par le projet Google Zero qui permettait d'espionner.
- la faille qui permettait le jailbreaking qui a été ré-introduite après avoir été corrigée.

et ce sont uniquement les failles médiatiques. Les release notes des Security Update d'iOS présentent un nombre inquiétant de failles qui permettent d'exécuter du code à distance.

Sans parler du fait qu'il est complètement débile de proclament que son OS mobile est sûr pour les données privées quand on autorise et facilite la distribution des applications de sociétés connues pour leurs fuites volontaires ou non des données privées de leurs utilisateurs (e.g. Facebook). Et qu'on fait chier dans le même temps d'autres développeurs pour des détails ridicules d'interface ou d'API privées.

[Illiade]

Leur message est clair (sauf pour les mal-comprenants) : aucune donnée de votre iPhone (ou de votre Mac) ne sera commercialisée par Apple.

Ah bon ?
https://twitter.com/chrisvelazco/status/108...ard-ces-2019%2F

Sauf pour les mal-comprenants… qui sont capables de donner un lien qui illustre cette affirmation, en croyant la contredire.
Cette affiche est une partie de la campagne de Apple/Tim Cook concernant le respect de la vie privée (RGPD en Europe).
N’importe quelle compagnie déclarant nous ne vendons pas les données de nos clients est capable de tenir cet engagement ;
aucune compagnie déclarant les données de nos clients sont inaccessibles ne peut être prise au sérieux.
Alors certes la vie privée est compromise dès lors que la sécurité est atteinte, mais pour la vie privée il s’agit de volonté alors que pour la sécurité il s’agit d’obligation de moyens.

https://www.youtube.com/watch?v=ZwQpPqPKbAw

C’est la seule fois, me semble-t-il, où Apple a communiqué sur les virus.
Pendant des années les commentateurs des sites Mac pestaient parce que Apple n’en parlait pas, alors que cela paraissait un avantage certain.
D’ailleurs, depuis Mac OS X, je n’ai jamais rencontré un Mac équipé d’un anti-virus, et je n’ai jamais rencontré de PC non équipé d’un anti-virus.

Rien que cette année, après le panneau géant de Las Vegas, on a eu :

- la faille dans FaceTime Group qui permettait d'espionner.
- les fichiers audio de Siri qui sont consultés par une société tierce et par des humains. Alors qu'Apple jurait que non, ils n'avaient pas les mêmes pratiques que Google et Amazon pour leur assistant vocal.
- la révélation des failles par le projet Google Zero qui permettait d'espionner.
- la faille qui permettait le jailbreaking qui a été ré-introduite après avoir été corrigée.

Ce sont effectivement des problèmes mais cela ne prouve toujours pas que Apple communique sur l’infaillibilité de ses OS.
Cela dit, je n’ai rien trouvé au sujet de : « Apple jurait que non, ils n'avaient pas les mêmes pratiques que Google et Amazon pour leur assistant vocal. »
Comme c’était écrit dans les conditions d’utilisation (que personne ne lit), j’ai du mal à croire qu’ils aient pu le nier.
Le gros problème, c’est que l'écoute était confiée à un sous-traitant. Google ou Amazon a eu un problème de sous-traitance : un employé sous-payé a vendu des données utilisateurs sensibles (médicales).
Apple a corrigé le tir puisque ce sera désormais des employés Apple qui écouteront, et que ceux qui seront écoutés l’auront accepté volontairement.
La faille jailbreaking, quand bien même elle a été réintroduite, c’est un non-évènement. Il n’y a pas longtemps ça militait pour le jailbreaking pour tous parce que l’iPhone est trop fermé.

On peut surtout leur reprocher de mettre trop de temps à corriger des bugs/failles mis à jour, de même qu’on leur reprochait de ne pas récompenser ceux qui mettaient en évidence des failles graves…
au risque que les chercheurs vendent leurs découvertes au plus offrant.

Sans parler du fait qu'il est complètement débile de proclament que son OS mobile est sûr pour les données privées quand on autorise et facilite la distribution des applications de sociétés connues pour leurs fuites volontaires ou non des données privées de leurs utilisateurs (e.g. Facebook).

Ce qui est complètement débile c’est d’accuser Apple de tous les maux, puis vouloir leur faire jouer le rôle du chevalier blanc. C’est insupportable ces fan boys qui veulent que Apple n’autorisent que les App conseillant cinq fruits et légumes par jour et un moteur de recherche Max Havelaar (qui ne trouve rien).

[chombier]

Leur message est clair (sauf pour les mal-comprenants) 
[blabla]
Sans parler du fait qu'il est complètement débile de proclament [blabla]

Il y aurait tellement de failles iOS que leur valeur aurait baissé

Il y a pourtant deux conditionnels, mais tu continues à digresser.
"On" t'a fait mal à ton Doudou ?

[Illiade]

Leur message est clair (sauf pour les mal-comprenants) 
[blabla]
Sans parler du fait qu'il est complètement débile de proclament [blabla]

Il y aurait tellement de failles iOS que leur valeur aurait baissé

Il y a pourtant deux conditionnels, mais tu continues à digresser.
"On" t'a fait mal à ton Doudou ?

chombier, tu conseilles aux autres d’utiliser un Bescherelle, mais le tien ne t'est d’aucun secours pour ta syntaxe à « t’a […] ton » ;
tu te moques parce que je mets un lien vers une vidéo plutôt que de l’afficher dans le forum, mais tu m’attribues des écrits de reversi à cause de tes [ quote ] mal taillés ;
tu me reproches de digresser alors que tu envoies un lien vers la sécurité d’une carte bancaire lorsqu’il est question de sécurité/respect de vie privée d'(i)OS.
Cela dit ton lien était intéressant, il rappelait que l’Apple Card est une Master Card, c’est toujours cela de pris,
cela nous évitera que dans le grand vortex des stupidités postées sur MacBidouille, on trouve la mention qu’il s’agisse en fait d’une « carte bancaire American Express™ (la compagnie semble introuvable!!!) »
prouvant par là qu’Apple vend les données de ses clients.

Il y a deux conditionnels, écris-tu, ce qui prouve que tu as un Bescherelle, et que tu sais compter jusqu’à deux. Fort bien.
Mais pourquoi n’es-tu pas intervenu sur les digressions auxquelles je répondais ?

D’ailleurs, depuis Mac OS X, je n’ai jamais rencontré un Mac équipé d’un anti-virus, et je n’ai jamais rencontré de PC non équipé d’un anti-virus.

Il va falloir commencer à rejeter un coup d'œil à macOS un de ces jours, parce que depuis Snow Leopard, via Gatekeeper et XProtect, il y a un antivirus sur chaque Mac. Il n'est pas surpuissant mais il est là.
Suggestion bis : relire les Habits Neufs de l'Empereur.

Ta suggestion concernant Hans Christian Andersen est assez sibylline, je veux bien que tu l’explicites car pour l’instant elle signifie qu’à défaut de faits, tu préfères les contes de faits.
Je peux reformuler ma phrase pour montrer à quel point tu te trompes :
je n’ai jamais rencontré un Mac équipé d’un anti-virus (autre que la protection intégrée Gatekeeper et XProtect), et je n’ai jamais rencontré de PC (pourtant avec Windows Defender intégré) non équipé d’un anti-virus supplémentaire (Avast, Kaspersky, McAfee).
Par ailleurs, je sens bien que je vais déclencher un Grenelle des violences faites aux mouches, en m’exprimant dans une assemblée de commentateurs qui ne comprennent pas la différence conceptuelle entre sécurité et vie privée, mais il me semble que Mac OS X, et ses déclinaisons, n’a pas de virus connu. Mais il est bien entendu aussi fragile (plus si vous voulez) que n’importe quel OS face aux autres malware, de type cheval de Troie.

Pourtant, et contrairement à ce qu'affirme Illiade, c'était clairement un argument commercial mis en avant par Apple sur son site lors de la commercialisation de Snow Leopard. Argument commercial qui, si mes souvenirs sont bons (je ne suis plus très sûr), a perduré avec Lion et Mountain Lion. Et même si le terme de "anti-malware" aurait été plus adéquat, Apple utilisait bel et bien le terme de "virus".
On trouve encore des traces de cette communication sur le net (cf. la dernière capture d'écran sur cet article de MacG).

Et contrairement à ce qu'essaye de faire croire Illiade avec une certaine mauvaise foi (je dirais même une mauvaise foi certaine, ça se voit), Apple fait bien de la sécurité dans son ensemble un argument pour vendre ses produits et services, alors que l'on peut se constater qu'elle (Apple) ne s'est pas suffisamment montrée à la hauteur. Si Apple a vraiment l'intention de reprendre les choses en main, tant mieux, c'est plus que nécessaire.

C’est très bien de fustiger la mauvaise foi, je suis en train de chercher le nom du commentateur sur MacBidouille qui se déclare très au fait de l’actualité Samsung, qui fonctionne sous Android, parce qu’on [Apple] ne la lui fait pas,
mais qui conseille à ses proches pas très au fait de l’informatique, de s’orienter vers le matériel Apple, pour leur éviter des déconvenues en termes de sécurité (ou de vie privée ?).
Quand j’aurai retrouvé son nom, je le contacterai en message privé afin qu’il recontacte ses proches parce que « Il y aurait tellement de failles iOS que leur valeur aurait baissé ».

Mon objection, qui me vaut le soulèvement des bras cassés qui ne lisent pas plus que trois mots, et qui surchauffent face à un mot de trois syllabes parce que c’est quasiment trois mots,
portait sur la campagne actuelle d’Apple qui parle de respect de la vie privée, en particulier sur iPhone, et non de sécurité.
Et tout ce que tu trouves à m’opposer c’est un texte de 2009 qui parle de sécurité sur Mac OS X.
Apple fait bien de la sécurité dans son ensemble un argument pour vendre ses produits et services écris-tu, va lire les pages consacrées à l’iPhone sur le site d’Apple, cela ne parle que de confidentialité.
Alors certes il y a la phrase « Chaque produit Apple est conçu pour être sécurisé et protéger votre vie privée. »,
mais faut être d’une certaine mauvaise foi et même d’une mauvaise foi certaine pour appeler ça un argument de vente.
Car va dans la vie réelle faire la liste des facteurs d’achat : c’est pas cher, ça me rend le service que je souhaite ou un meilleur service que j’avais, tu combines ces deux raisons et tu as le stupide rapport qualité/prix, l’espérance de vie du produit (la confiance accordée à la marque), et puis il peut aussi y avoir c’est beau.
En informatique (ordinateur/téléphone), personne ou quasiment personne n’achète pour la sécurité : les gens ont été élevés avec les virus et les failles Windows, aussi cela leur semble consubstantiel. C’est juste un mauvais moment à passer.
Généralement un primo-arrivant dans l’univers Mac s’empresse de demander quel anti-virus installer, c’est dire si les switchers sont impressionnés par les « arguments » de vente que tu décris.

Cela dit je te remercie pour le lien vers MacGé, cela m’a permis de constater que le community manager postulant de Samsung (celui qui dit aux journalistes : le Galaxy pliant, vous le tenez mal) y officiait déjà aussi bêtement.
Dix ans d’effort à déblatérer sur Apple et toujours pas engagé par Samsung, ça fait pitié.

[chombier]

"On" t'a fait mal à ton Doudou ?

chombier, tu conseilles aux autres d’utiliser un Bescherelle, mais le tien ne t'est d’aucun secours pour ta syntaxe à « t’a […] ton » ;

Avec malloc, vous formez une belle paire.