Apple se met à dos les hackers qui lui soumettent des bugs, Réactions à la publication du 20/10/2021 |
Bienvenue invité ( Connexion | Inscription )
Apple se met à dos les hackers qui lui soumettent des bugs, Réactions à la publication du 20/10/2021 |
20 Oct 2021, 05:00
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 356 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Afin d'éviter que ses failles de sécurité ne soient vendues sur le marché ou dévoilées de manière très précoce, Apple a lancé un programme permettant aux hackers de les leur déclarer et même d'obtenir des récompenses parfois conséquentes.
Les choses ne se passent toutefois pas toujours bien dans les relations contractuelles entre Apple et ces personnes. Ainsi, ces derniers mois certains se sont plaints qu'Apple veuille les museler en les empêchant de parler de leur découverte une fois soumise (ce qui est compréhensible), tout en ne corrigeant pas les failles même au bout de quelques mois. Pour cela Google et son projet zéro est bien plus intransigeant. Si les failles déclarées ne sont pas comblées au bout de 90 jours, elles sont rendues publiques. D'autres se sont plaints plus récemment de ne pas avoir été rétribués bien que les failles aient été comblées, et ce, sans aucune information de la part d'Apple. Dernier problème en date, des personnes se sont plaintes car elles n'ont pas été créditées de la découverte de la faille une fois comblée. Apple a ensuite expliqué qu'elle ne pouvait pas le faire a posteriori. Bref, les relations entre Apple et ces hackers sont souvent tendues. Nous le déplorons même si nous n'en sommes pas surpris. Apple n'a pas l'habitude de considérer qui que ce soit comme son égal, tout au plus son vassal ou un partenaire utile. Pourtant, c'est certainement le domaine dans lequel elle devrait faire le plus d'effort. On a maintenant les preuves que la société est loin d'être infaillible malgré l'image qu'elle véhicule savamment. Il ne faudrait surtout pas qu'elle dissuade qui que ce soit de lui soumettre une faille plutôt que de la vendre au plus offrant. Or, c'est pour éviter cela que son programme de prime à la faille a été mis en place. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
20 Oct 2021, 05:12
Message
#2
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 5 145 Inscrit : 2 Sep 2010 Membre no 158 552 |
bon
ben les prochaines failles seront rendues publiques et certains indiqueront la date depuis laquelle cette faille existe. il n'y a pas de faille sous iOS c'est android ké toupourri il n'y a pas de faille sous mac, les virus c'est que sur pc oh ! regardez la haut , Facebook et la vie privée. |
|
|
20 Oct 2021, 08:00
Message
#3
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 954 Inscrit : 10 Mar 2005 Lieu : Maulévrier (49) Membre no 34 929 |
Oui, rien de vraiment surprenant…
Par contre, je me demande à quelle date ils ont prévu de changer de logo, de remplacer la pomme par un gros melon… MDR -------------------- Aveugle depuis janvier 2020
Mac mini 2015 i5 2.5GHz 8Go avec VoiceOver, sans écran. iPhone SE 3 avec rideau d’écran, VoiceOver activé. Plus aucun matériel photo. Pour la santé de mes oreilles : - àmpliAtoll IN80 Signature -enceintes Davis Acoustic Baltus 70 Tout ça alimenté par le Mac Mini en optique, accessoirement aussi par l’iPhone en Bluetooth… |
|
|
20 Oct 2021, 08:31
Message
#4
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 959 Inscrit : 26 Nov 2006 Lieu : Paris Membre no 73 922 |
Une fois de plus, Apple et sa maladie du contrôle quasi Stalinien de l'information...
Les règles du jeu doivent être claires et respectées, sinon ça perd tout son intérêt. Un peu pénible si des failles ne sont pas corrigées en plusieurs mois quand même !! J'imagine que pour des raisons de release management, certaines doivent passer dans les màj majeures d'OS Pour le reste, la réputation d'un hack se construit sur la découverte de ces failles. S'ils n'en tirent pas de pognon ou de "gloire", ils les exploiteront différemment... --------------------
|
|
|
20 Oct 2021, 08:52
Message
#5
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 281 Inscrit : 8 Jan 2007 Lieu : entre la France et l'Afrique... Membre no 77 651 |
C'est un domaine dont j'ignore tout, mais purée, rien que sur le principe c'est tout de même totalement incompréhensible de la part des dirigeants d'Apple.
Est-ce que c'est la volonté d'un seul homme ? |
|
|
20 Oct 2021, 09:18
Message
#6
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 9 798 Inscrit : 9 Nov 2001 Lieu : Pays d’Aix Membre no 1 255 |
… D'autres se sont plaints plus récemment de ne pas avoir été rétribués bien que les failles aient été comblées, et ce, sans aucune information de la part d'Apple. Dernier problème en date, des personnes se sont plaintes car elles n'ont pas été créditées de la découverte de la faille une fois comblée.. S’il y a plusieurs informateurs en même temps, pour une même info, comment départager les prétentions ? Je présume que ça doit être fréquent. D’autant plus que les ingénieurs maison en charge de construire les logiciels doivent évidemment s’auto-corriger sans l’aide de hackers extérieurs. D’autre part, est-ce que ces découvertes non rémunérées concernent aussi les versions bêta ?… dont le but est précisément de tester le bon fonctionnement et révéler les bugs. -------------------- Mac Studio M1max 32 Go 1 To - Sonoma - Eizo 27" + Nec 21" - usage PAO
MBp14 M2pro 16 Go 1 To - Sonoma - iPhone 15 128 - iWatch 6 abonné VVMac |
|
|
20 Oct 2021, 09:37
Message
#7
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 726 Inscrit : 28 Nov 2015 Lieu : Somme Membre no 197 274 |
Bonjour,
Comme nous dit "g4hd" : Citation D’autre part, est-ce que ces découvertes non rémunérées concernent aussi les versions bêta ?… dont le but est précisément de tester le bon fonctionnement et révéler les bugs. Attention là on ne parle pas de bugs, mais de faille de sécurité touchant le plus souvent le noyau du système et ce malgré toutes les soi disantes protections, qui bloque l'utilisateur de l'Os (mais c'est pour notre bien, dixit Apple ) mais n'arrête pas les Hackers Ce message a été modifié par Pat94 - 20 Oct 2021, 09:37. -------------------- Mac Pro 2019 (7,1) 16 Core 3.2ghz 96 Go Ram 2 + 4 To SSD AMD RX 5700 XT/ Mac Pro 5.112 Core 3.4,6 ghz 64 Go Ram 1+1 To SSD AMD RX 580 LE
|
|
|
20 Oct 2021, 09:44
Message
#8
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 5 468 Inscrit : 9 Apr 2004 Membre no 17 402 |
La radinerie d'Apple est légendaire, mais hélas méconnue.
AMHA, le grand Timonier de Cupertino n'y est pas pour rien. -------------------- Exif Photoworker: Renommez et organisez vos photos et vidéos en quelques clics (téléchargement et période d'essai gratuits).
|
|
|
20 Oct 2021, 10:01
Message
#9
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 963 Inscrit : 13 Oct 2007 Membre no 96 938 |
|
|
|
20 Oct 2021, 11:57
Message
#10
|
|
Adepte de Macbidouille Groupe : Membres Messages : 139 Inscrit : 18 Apr 2005 Membre no 37 339 |
je vais soumettre un bug mais leur demander de me verser en amont le montant pour que je le fasse, une fois payé je leur dit qu'il n'y a pas de bug mais que je ne peux pas rembourser a posteriori.
|
|
|
20 Oct 2021, 12:15
Message
#11
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 387 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
C'est pire que cela puisque Apple ne veut pas reconnaître certaines "bugs", donc refuse aussi de nommer les Chercheurs en Sécurité les ayant trouvés, et pour cela essaye de lier le paiement à une clause de confidentialité totalement anormale.
Ces "bugs" là mettent d'ailleurs un temps énorme pour être résolues. J'ai mon opinion sur ces "bugs", je dirais que sans faire de l'humour ça ressemble à des "features" PS: j'ai été créateur et responsable d'un programme de Bug Bounty pour un développeur d'App Mobile, ainsi qu'acteur principal d'un second pour un groupe lié aux évènements, festivals et spectacles, on le faisait nous de bonne foi et ça a été extrêmement sympa avec des personnes très pro-actives et s'impliquant dans la résolution, ce qui nous a amené d'ailleurs a distribuer des bonus pour les remercier, en sus de nos échelles liées aux scores CVSS, et moi-même auteur d'un CVSS 9 sur MySQL il y a longtemps. -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
20 Oct 2021, 12:54
Message
#12
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 914 Inscrit : 2 Aug 2011 Lieu : Saint Hippolyte-du-Fort Membre no 169 375 |
S’il y a plusieurs informateurs en même temps, pour une même info, comment départager les prétentions ? La moindre des choses serait alors d'en parler, clairement, avec les "informateurs". En fait des gens qui ne trouvent pas "par hasard" des trous de sécurité, mais bien qui les recherchent - pour le bien commun, parce que j'ai cru comprendre qu'une faille vaut de l'or dans certains milieux pas bien fréquentables. -------------------- |
|
|
20 Oct 2021, 13:15
Message
#13
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 387 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
S’il y a plusieurs informateurs en même temps, pour une même info, comment départager les prétentions ? La moindre des choses serait alors d'en parler, clairement, avec les "informateurs". En fait des gens qui ne trouvent pas "par hasard" des trous de sécurité, mais bien qui les recherchent - pour le bien commun, parce que j'ai cru comprendre qu'une faille vaut de l'or dans certains milieux pas bien fréquentables. C'est ce qui va arriver avec Apple, mais en même temps les failles sous iOS, même les meilleures (Root Remote Execution w/o User Interaction grosso merdo), sont bien moins payées que pour Android: il y en a plus qui s'échangent pour iOS, abaissant ainsi leur cours... -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
20 Oct 2021, 13:43
Message
#14
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 12 572 Inscrit : 25 Nov 2001 Membre no 1 397 |
Il n'y a pas que les failles du système qui sont exploitées.
https://www.lemonde.fr/pixels/article/2021/...43_4408996.html Les fameuses "applications de l'App store infaillibles puisque signées". Les utilisateurs Mac/iphones sont de plus en plus vus comme de gros pigeons à déplumer. Ce message a été modifié par zero - 20 Oct 2021, 13:45. |
|
|
20 Oct 2021, 20:21
Message
#15
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 627 Inscrit : 26 Jun 2010 Lieu : Paris Membre no 155 873 |
J'ai lu quelque par que cet état de fait est voulu par Apple. Ils ont des équipes en interne qui cherchent eux aussi des bugs. Et correctement rémunérer les "externes" pourrait encourager les "internes" à quitter l'entreprise pour être mieux payé en faisant le même travail...
-------------------- Macbook 16" M1 Pro 32GB/1TB + Studio Display, Dell Precision 3640 i7-10700K/32GB, Fedora 36 Linux, Casque Sony WH-1000XM4, iPhone 6s 64GB
|
|
|
20 Oct 2021, 20:36
Message
#16
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 273 Inscrit : 23 Aug 2003 Membre no 9 180 |
Il n'y a pas que les failles du système qui sont exploitées. https://www.lemonde.fr/pixels/article/2021/...43_4408996.html Les fameuses "applications de l'App store infaillibles puisque signées". Les utilisateurs Mac/iphones sont de plus en plus vus comme de gros pigeons à déplumer. Hallucinant, cet article en effet ! Mais du coup iOS ne détecte pas qu'il télécharge depuis autre chose que l'App Store officiel avec ce système... |
|
|
Guest_anonym_d019ede3_* |
20 Oct 2021, 21:06
Message
#17
|
Guests |
bon ben les prochaines failles seront rendues publiques et certains indiqueront la date depuis laquelle cette faille existe. il n'y a pas de faille sous iOS c'est android ké toupourri il n'y a pas de faille sous mac, les virus c'est que sur pc oh ! regardez la haut , Facebook et la vie privée. Ça a commencé, j'ai lu il y a 1 mois - 1,5 mois environ, qu'un gars avait publié une faille publiquement, signalée depuis des mois et non prise en compte par Apple, donc ni résolue ni rémunérée… Je ne retrouve plus l'article là de suite, mais ça m'avait même surpris qu'on en parle pas ici à ce moment. |
|
|
20 Oct 2021, 21:17
Message
#18
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 6 580 Inscrit : 20 Mar 2003 Membre no 6 765 |
Security is our focus:
https://www.clubic.com/pro/entreprises/appl...le-victime.html USB is bad: https://hitek.fr/actualite/apple-etudiant-h...ns-iphone_31215 Long life to La Pomme. -------------------- késtananafout' (:
|
|
|
21 Oct 2021, 08:04
Message
#19
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 306 Inscrit : 27 Jul 2008 Lieu : Besançon Membre no 118 630 |
Je ne veux pas défendre Apple, elle doit respecter ses engagements.
Toutefois, si je trouve le moyen de retirer de l'argent d'un distributeur de billets sans que cela né débite mon compte, et que je demande de l'argent au fabricant de ce distributeur sinon j'utilise la faille sur chaque banque ayant ce distributeur. Et je donne la manip à tous mes potes. Faut pas oublier que je reste un voleur. Tout cela ne veut dire qu'une seule chose, c'est que nous (la société, les états en général) n'ont quasiment pas de moyen pour contrer ces abus. La seule solution est de payer ceux qui pourraient être complice de ces délits. -------------------- |
|
|
Guest_anonym_d019ede3_* |
21 Oct 2021, 11:04
Message
#20
|
Guests |
Je ne veux pas défendre Apple, elle doit respecter ses engagements. Toutefois, si je trouve le moyen de retirer de l'argent d'un distributeur de billets sans que cela né débite mon compte, et que je demande de l'argent au fabricant de ce distributeur sinon j'utilise la faille sur chaque banque ayant ce distributeur. Et je donne la manip à tous mes potes. Faut pas oublier que je reste un voleur. Tout cela ne veut dire qu'une seule chose, c'est que nous (la société, les états en général) n'ont quasiment pas de moyen pour contrer ces abus. La seule solution est de payer ceux qui pourraient être complice de ces délits. Faut pas oublier que là on n'est dans un cas de figure où l'on parle de "hackers" mais en fait on devrait plutôt parler de chercheurs en sécurité informatique indépendants. (Edit : indépendant d'Apple). Certains bossent pour des boites d'antivirus et autres en sécurité, d'autres pour Google etc. (oui certains chercheurs de Google cherchent les failles d'Apple : une courte recherche vous pointe les articles). D'autres sont indépendants mais en font une activité à part entière. Alors le travail effectué via un programme (d'ailleurs officiel d'Apple) comme il y en a ailleurs également, doit être rémunéré comme annoncé par la pomme. Le but n'étant pas de se servir des failles mais bien de les présenter à la firme. Par contre, n'étant pas payés, et les failles pas prises en compte avec les traces de leurs messages etc. si les chercheurs publient les failles publiquement, alors qu'elles auraient pu être exploitées par d'autres entre deux depuis longtemps, Apple ne peut même pas plaider la faille zéro day puisqu'au courant. Ça les met juste devant le fait, et c'est très bien. Ce message a été modifié par anonym_d019ede3 - 21 Oct 2021, 11:21. |
|
|
21 Oct 2021, 13:24
Message
#21
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 644 Inscrit : 5 Mar 2003 Lieu : Ville de Notre-Dame Membre no 6 523 |
Il n'y a pas que les failles du système qui sont exploitées. https://www.lemonde.fr/pixels/article/2021/...43_4408996.html Les fameuses "applications de l'App store infaillibles puisque signées". Les utilisateurs Mac/iphones sont de plus en plus vus comme de gros pigeons à déplumer. Hallucinant, cet article en effet ! Mais du coup iOS ne détecte pas qu'il télécharge depuis autre chose que l'App Store officiel avec ce système... Pas vraiment hallucinant et vieille ruse de l'usurpation de l'identité. Il s'agit là simplement de l'utilisation d'un compte de test pour permettre l'installation d'une application associée. Le téléchargement est faisable puisque l'utilisateur a donné son accord pour le faire, tout en sachant que cela ne vient pas de l'AppStore officiel. Et cela ne remet pas en question la fiabilité des applications signées dans l'AppStore, puisque justement cela utilise des certificats de tests qui sont détournés de leurs usages. Ni le certificat, ni la procédure n'ont été cassés. Surtout que ces comptes une fois identifiés, sont fermés par Apple. Même stratégie que le déguisement des forces de l'ordre pour rentrer dans les appartements pour des contrôles de routine pour voir si tout va bien... -------------------- Sur iMac Pro (fin-2017) en Xeon 8 coeurs à 3.2 GHz / 32 Go Ram / Radeon Pro Vega 56 8 Go / 1 To SSD
Sous macOS 10.14.6 (Mojave) à jour et en réseau Wifi 6 avec une boite Fibre (fin de l'ADSL) Nostalgique de l'Apple IIgs ? Un petit émulateur : www.casags.net |
|
|
22 Oct 2021, 09:48
Message
#22
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 428 Inscrit : 22 Mar 2008 Membre no 110 651 |
Je ne veux pas défendre Apple, elle doit respecter ses engagements. Toutefois, si je trouve le moyen de retirer de l'argent d'un distributeur de billets sans que cela né débite mon compte, et que je demande de l'argent au fabricant de ce distributeur sinon j'utilise la faille sur chaque banque ayant ce distributeur. Et je donne la manip à tous mes potes. Faut pas oublier que je reste un voleur. Tout cela ne veut dire qu'une seule chose, c'est que nous (la société, les états en général) n'ont quasiment pas de moyen pour contrer ces abus. La seule solution est de payer ceux qui pourraient être complice de ces délits. En fait, c'est un usage courant dans le milieu des chercheurs en secu (white hat). Ils decouvrent une faille, previennent le developpeur/fabricant. Attendent que la faille soit comblee dans un delais raisonnable (ils se mettent d'accord avec le dev). Puis ils publient le resultat de leur recherche et devoilent la faille, une fois qu'elle est corrigee. Cette derniere partie est tres importante pour les chercheurs, c'est la base de leur metier, c'est ce qui sert a faire leur reputation. Sans cette derniere, le chercheur n'a absolument aucun interet a aider le "dev" a ameliorer et securiser son produit. Le programme de bug bounty est juste la pour inciter un peu plus les chercheurs a se pencher sur leur produits. Ca ne remet pas du tout en question l'usage cite plus haut. C'est aussi, bien plus efficace que de se contenter d'avoir des chercheurs en interne. |
|
|
27 Oct 2021, 18:49
Message
#23
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 154 Inscrit : 10 Jan 2003 Lieu : Casablanca - Maroc - à 1000 Km d'un vrai SAV Apple compétent Membre no 5 563 |
Ce n'est pas nouveau.
C'est un sujet délicat que de parler d'une faille en publique après tout on ne sait pas qui écoute, mais ma foi, au bout de 90 jours, c'est plutôt gentil. Les beta testeurs et white hackers devraient être remercié et dument rétribué lorsqu'ils trouvent une faille, et encore plus si ils sont capable d'apporter le correctif. Une minute ce n'est pas comme ça qu'a démarré la vague de virus envers microsoft il y a des années ? Un hacker découvre une faille, il la signale, on l'ignore, et il se dit je vais me faire entendre en créant un virus. -------------------- MacBook Pro 16" I9 2.3GHz. -
|
|
|
Nous sommes le : 1st June 2024 - 06:09 |