La faille d'iMessage déjà comblée par Apple a été dévoilée, Réactions à la publication du 11/04/2016

[Lionel]

Le mois dernier, lors de sa grande vague de mises à jour, Apple a comblé une faille majeure concernant iMessage. La société en avait été informée par des chercheurs en sécurité qui avaient alors attendu qu'elle soit comblée pour en expliquer la teneur.
Voici une vidéo illustrant cette faille et son exploitation.







Comme vous pouvez le voir, la faille était incroyablement facile à exploiter. Il suffisait d'envoyer un lien contenant un javascript à la victime. Si elle cliquait dessus, son appareil envoyait à un serveur en clair et sans s'en rendre compte le contenu de ses iMessages et leur historique.

Une fois encore cela illustre la difficulté de vouloir concilier sécurité maximale et ouverture propice à proposer des options intéressantes aux utilisateurs. C'est en fait certainement impossible et on en revient à créer des coffres-forts aux parois toujours plus épaisses mais dotés d'une multitude de portes permettant d'accéder à leurs contenus. Or chaque porte est un nouveau maillon faible dont il faut sécuriser au mieux la serrure sans la bloquer.

Lien vers le billet original

[Oncle Sophocle]

Bonjour Lionel

... Il suffisait d'envoyer un lien contenant un javascript à la victime. Si elle cliquait dessus, son appareil envoyait à un serveur en clair et sans s'en rendre compte le contenu de ses iMessages et leur historique.
...
Lien vers le billet original

Si on clique sur un lien dans un message d'un expéditeur inconnu, on s'expose à tous les risques possibles et imaginables, ce rappel aurait, à mon sens, été bienvenu dans l'article.

De prime abord, un message provenant d'un expéditeur inconnu (auquel on n'a pas à priori communiqué son adresse) doit éveiller la vigilance, surtout s'il demande de cliquer sur un lien — je ne parle pas des messages bidons comme "votre facture n'a pas pu être encaisée" ou autres demandant des coordonnées bancaires etc.

...cela illustre la difficulté de vouloir concilier sécurité maximale et ouverture propice à proposer des options intéressantes aux utilisateurs. C'est en fait certainement impossible et on en revient à créer des coffres-forts aux parois toujours plus épaisses mais dotés d'une multitude de portes permettant d'accéder à leurs contenus. Or chaque porte est un nouveau maillon faible dont il faut sécuriser au mieux la serrure sans la bloquer.

Faut-il le rappeler, le dernier "maillon faible" est toujours entre le clavier et l'utilisateur. Il est certain qu'en l'oubliant, on a vite fait de transformer n'importe quel service de messagerie (e-mail ou autres) en une vraie usine à gaz.

Je ne connais pas iMessage, n'ayant pas d'iPhone, n'a-t'il pas d'outils intégrés comme les logiciels clients de messagerie pour bloquer les indésirables et les messages suspects ?

[Lionel]

Pourquoi un inconnu ? Allez, imaginons un conjoint qui veut savoir si l'autre est infidèle ? Il lui envoie un lien et récupère tous les iMessage. Pareil pour un boss qui veut savoir ce que fait son employé.

[r e m y]

Je n'arrive pas à savoir si la faille a été comblée sur toutes les versions d'OS X ou uniquement sur El Capitan...

D'autre part est-ce que ca touche aussi iMessages sur iPhone? auquel cas, est-ce corrigé sur toutes les versions d'iOS? ou uniquement sur iOS 9 à condition d'installer la toute dernière version?

Autre option, c'est sur les serveurs de Message et iMessage qu'Apple a bouché la faille...

Bref si MacBid arrive à avoir des précisions, ca m'interesse, pour savoir si je suis toujours en risque sur mes appareils, ou pas
car aucun Mac n'est encore passé à El Capitan, et leurs versions d'OS X s'echelonnent de SnowLeopard (pas concerné par Messages) à Yosemite en passant par Mavericks, et plusieurs iPhones à la maison encore sous iOS 7 ou 8.

Ce message a été modifié par r e m y - 11 Apr 2016, 09:40.

[Sgt.Pepper]

raoulito ? T'es là ?
Tu te souviens de notre (récente) conversation ?

[DeaDPooL]

Je n'arrive pas à savoir si la faille a été comblée sur toutes les versions d'OS X ou uniquement sur El Capitan...

D'autre part est-ce que ca touche aussi iMessages sur iPhone? auquel cas, est-ce corrigé sur toutes les versions d'iOS? ou uniquement sur iOS 9 à condition d'installer la toute dernière version?

Autre option, c'est sur les serveurs de Message et iMessage qu'Apple a bouché la faille...

Bref si MacBid arrive à avoir des précisions, ca m'interesse, pour savoir si je suis toujours en risque sur mes appareils, ou pas
car aucun Mac n'est encore passé à El Capitan, et leurs versions d'OS X s'echelonnent de SnowLeopard (pas concerné par Messages) à Yosemite en passant par Mavericks, et plusieurs iPhones à la maison encore sous iOS 7 ou 8.

Cette faille touchait tout spécialement la messagerie sur OS X, mais en activant la fonction de transfert de SMS sur iPhone (Réglages > Messages), elle pouvait également frapper iOS.

Apple détaille la faille (numérotée CVE-2016-1764) dans sa liste des correctifs d'OS X 10.11.4 (des correctifs qui ont aussi été fournis dans la mise à jour de sécurité 2016-002).

Le correctif est uniquement Disponible pour : les versions 10.11 à 10.11.3 d’OS X El Capitan.

Sources : https://support.apple.com/fr-fr/HT206167 et http://www.macg.co/os-x/2016/04/apple-bouc...-messages-93714