Apple monte au créneau pour défendre la sécurité d'iOS, Réactions à la publication du 07/09/2019

[Lionel]

L'annonce de failles permettant d'accéder au contenu d'un appareil iOS a fait beaucoup de tort à Apple, qui défend sa plateforme comme un modèle de sécurité. La société a officiellement réagi à cette affaire. Voici une traduction du communiqué.

La semaine dernière, Google a publié un billet sur les vulnérabilités qu'Apple avait corrigées sous iOS en février. Nous avons entendu des clients préoccupés par certaines des allégations et nous voulons nous assurer que tous nos clients soient informés des faits.

Premièrement, l'attaque sophistiquée était étroitement ciblée et non un exploit à grande échelle touchant les iPhones « en masse » comme décrit. L’attaque a touché moins d’une douzaine de sites Web consacrés au contenu lié à la communauté ouïghoure. Quelle que soit l'ampleur de l'attaque, nous prenons la sécurité de tous les utilisateurs extrêmement au sérieux.
La publication de Google, publiée six mois après la publication des correctifs iOS, crée la fausse impression d’« exploitation de masse » pour « surveiller les activités privées de populations entières en temps réel », suscitant la peur parmi tous les utilisateurs d’iPhone selon laquelle leurs appareils avaient été compromis. Cela n'a jamais été le cas.

Deuxièmement, toutes les preuves indiquent que ces attaques contre des sites Web n'étaient opérationnelles que pendant une brève période, environ deux mois, et non pas « deux ans », comme l'indique Google. Nous avons corrigé les vulnérabilités en question en février – nous avons travaillé extrêmement rapidement pour résoudre le problème 10 jours seulement après que nous en ayons eu connaissance. Lorsque Google nous a contactés, nous étions déjà en train de corriger les bogues exploités.

La sécurité est un combat sans fin et nos clients peuvent être confiants sur le fait que nous travaillons pour eux. La sécurité iOS est inégalée car nous assumons la responsabilité de bout en bout de la sécurité de notre matériel et de nos logiciels. Nos équipes de sécurité des produits dans le monde cherchent constamment à introduire de nouvelles protections et correctifs de vulnérabilités dès qu’elles sont détectées. Nous n'arrêterons jamais notre travail inlassable pour assurer la sécurité de nos utilisateurs.

Il faut garder à l'esprit que ce genre de communiqué a été rédigé par des spécialistes de la communication dans ce domaine et Apple a certainement les meilleurs. Une fois cette base posée, on peut lire les choses de manière plus constructive. On voit que la société ne parle pas réellement du problème de fond, la cascade de failles permettant d'accéder au contenu d'un iPhone, mais en minimise l'impact.
Il y a donc eu seulement 12 sites, visant une communauté très ciblée, les Ouïghours, dont peu de monde avait entendu parler jusqu'à récemment, et seulement pendant 2 mois et pas 2 ans.
Autre pièce d'architecture, les équipes du projet Zero de Google sont des méchants et ont parlé de failles une fois comblées pour faire du mal à Apple.
Le meilleur reste certainement ceci : "Lorsque Google nous a contactés, nous étions déjà en train de corriger les bogues exploités." C'est invérifiable mais donne l'impression que Google n'est pour rien dans la correction des failles, les a même découvertes après les équipes d'Apple.

Soyons clairs, on ne peut pas réellement jeter l'opprobre sur Apple parce qu'il y a des failles sous iOS. Il y en a partout et des équipes spécialisées partout dans le monde ne cessent de les traquer pour leur employeur, souvent un état, ou pour des récompenses se chiffrant en millions ou dizaines de millions de dollars. Lutter contre les failles est donc forcément une bataille de défense et pas d'attaque. La seule chose importante est seulement la réactivité.
Il est en revanche fatigant en tant de client de voir tout cela se finir en bataille médiatique dirigée par des personnes n'ayant jamais pondu une seule ligne de code, plus promptes à essayer de coller un tableau sur un mur endommagé plutôt que de le réparer.

Lien vers le billet original

[reversi]

L'annonce de failles permettant d'accéder au contenu d'un appareil iOS a fait beaucoup de tort à Apple

…

Il est en revanche fatiguant en tant de client de voir tout cela se finir en bataille médiatiques dirigée par des personnes n'ayant jamais pondu une seule ligne de code qui sont plus promptes à essayer de coller un tableau sur un mur endommagé plutôt que de le réparer.

Lien vers le billet original

"La publication de Google, publiée six mois après la publication des correctifs iOS"

Quand quelqu'un révèle un zero-day avant qu'Apple corrige le problème c'est mal.
Quand quelqu'un révèle un zero-day après qu'Apple a corrigé le souci et fourni la solution à ses clients, c'est mal.

Apple, ou comment avoir toujours raison.

"pour résoudre le problème 10 jours seulement après que nous en ayons eu connaissance. "

Selon certaines sources, il semblerait que cette petite phrase occulte le fait que c'est le FBI qui a porté à la connaissance d'Apple l'existence de failles et de personnes touchées par celles-ci. Et qu'Apple n'avait aucune idée du souci avant cela.

Ce message a été modifié par reversi - 7 Sep 2019, 14:40.

[broitman]

Je ne vois toujours pas ou est le probleme reel : depuis fort longtemps (debut de la 3G ?) on sait que plus il y a de lignes de code et plus il y a de failles potentielles

La prudence doit remplacer l'exuberance

[marco]

Forts en communication? Peut-être, mais pas en écriture. Leur style est à chier :
"La publication de Google, publiée six mois après la publication des correctifs iOS". Publication, publié, publication. C'est pas un peu lourd?

[zero]

C'est pas grâve, c'est une minorité dont peu de monde avait entendu parler. Et ceux qui ne peuvent pas ou ne désirent pas suivre le rythme des mises à jour, tant pis pour eux. C'est une minaurité aussi.

[DefKing]

C'est pas grâve, c'est une minorité dont peu de monde avait entendu parler. Et ceux qui ne peuvent pas ou ne désirent pas suivre le rythme des mises à jour, tant pis pour eux. C'est une minaurité aussi.

Appelons un chat un chat!

On parle des Ouighours assez souvent dans les médias. C'est une communauté musulmane minoritaire en Chine, tout comme les Tibétains et poursuivis assez férocement par le gouvernement de la Chine dite populaire.

On se doute un peu que ce ne sont pas les Hongkongais qui ont fait ça.

Ce message a été modifié par DefKing - 7 Sep 2019, 11:01.

[Guest_anonym_d019ede3_*]

Forts en communication? Peut-être, mais pas en écriture. Leur style est à chier :
"La publication de Google, publiée six mois après la publication des correctifs iOS". Publication, publié, publication. C'est pas un peu lourd?

Mais si, mais c'est parce que :

ce genre de communiqué a été rédigé par des spécialistes de la communication dans ce domaine

[Illiade]

Forts en communication? Peut-être, mais pas en écriture. Leur style est à chier :
"La publication de Google, publiée six mois après la publication des correctifs iOS". Publication, publié, publication. C'est pas un peu lourd?

Mais si, mais c'est parce que :

ce genre de communiqué a été rédigé par des spécialistes de la communication dans ce domaine

Google’s post, issued six months after iOS patches were released
devient « La publication de Google, publiée six mois après la publication des correctifs iOS ».

C’est facile de se moquer du traducteur ;
cela prend moins de temps que de consulter la source.
En français dans le texte, cela (peut) donne(r ) : La publication de Google, six mois après la mise à disposition des correctifs iOS

Si vous souhaitez dire du mal intelligemment d'Apple, vous pouvez par exemple signaler que Google maintient ses affirmations :
Project Zero posts technical research that is designed to advance the understanding of security vulnerabilities, which leads to better defensive strategies.
We stand by our in-depth research which was written to focus on the technical aspects of these vulnerabilities.
We will continue to work with Apple and other leading companies to help keep people safe online.

[Guest_anonym_d019ede3_*]

C’est facile de se moquer du traducteur

Détend toi, un trait d'humour ne fait pas de mal.

D'ailleurs, la phrase que j'ai mise en avant en réponse, contrairement à celle qu'a citée @marco, semble être de Lionel et pas du traducteur Google.

Et je ne pense pas que ce dernier m'en tienne rigueur.

Ce message a été modifié par anonym_d019ede3 - 7 Sep 2019, 11:49.

[JayTouCon]

Euh non @lionel les ouïgours font l’actualité ce n’est pas une découverte. Un peu comme les yazidis il y a quelque temps.

On parle de camp de redressement poliement appelés camp d’éducation, privés dès leur plus jeune âge de leur parents. Ils doivent même dire ‘maman’ a leur institutrice. proches des turcs et musulmans ils ne plaisent pas à Pékin qui doit les ‘rééduquer’

[iAPX]

Apple est indéfendable sur ce coup-ci, à cause de la durée et de la nature des failles présentes.

Mais Google a des failles dans le noyau d'Android, notamment la dernière permettant l'escalade de droits, et qui après plus de 6 mois n'est pas comblée et que Google ne semble pas vouloir combler. Lire ici (en Anglais)

Je ne sais pas quelles sont leurs vision de la sécurité derrière leurs discours PR bien rodés, mais la réalité est têtue...

[zero]

Mais Google a des failles dans le noyau d'Android, notamment la dernière permettant l'escalade de droits, et qui après plus de 6 mois n'est pas comblée et que Google ne semble pas vouloir combler. Lire ici (en Anglais)

En plus des failles, Android a un problème récurent avec souvent des applis qui ne fonctionnent plus après une mise à jour faite en douce et pas moyen de revenir en arrière, il faut attendre des jours, des semaines, voir plus pour que les devs daignent faire fonctionner l'appli.

[Sardequin]

Euh non @lionel les ouïgours font l’actualité ce n’est pas une découverte. Un peu comme les yazidis il y a quelque temps.

On parle de camp de redressement poliement appelés camp d’éducation, privés dès leur plus jeune âge de leur parents. Ils doivent même dire ‘maman’ a leur institutrice. proches des turcs et musulmans ils ne plaisent pas à Pékin qui doit les ‘rééduquer’

Bien dit ! Sans doute que dans le monde des « geeks », personne n’a entendu parler des Ouïgours ! Dans le monde réel hélas oui !

[reversi]

Mais Google a des failles dans le noyau d'Android, notamment la dernière permettant l'escalade de droits, et qui après plus de 6 mois n'est pas comblée et que Google ne semble pas vouloir combler. Lire ici (en Anglais)

En plus des failles, Android a un problème récurent avec souvent des applis qui ne fonctionnent plus après une mise à jour faite en douce et pas moyen de revenir en arrière, il faut attendre des jours, des semaines, voir plus pour que les devs daignent faire fonctionner l'appli.

Une mise à jour en douce ? Pas moyen de revenir en arrière ? Au niveau de l'OS ou bien des dites applications ?

Si c'est au niveau de l'OS, malheureusement, c'est tout pareil à Cupertino.

Si c'est au niveau des applis, malheureusement, c'est tout pareil chez les développeurs qui distribuent leurs créations sur les plate-formes de Cupertino. Et ça n'a aucun rapport avec la sécurité des OS, là aussi.

[divoli]

Euh non @lionel les ouïgours font l’actualité ce n’est pas une découverte. Un peu comme les yazidis il y a quelque temps.

On parle de camp de redressement poliement appelés camp d’éducation, privés dès leur plus jeune âge de leur parents. Ils doivent même dire ‘maman’ a leur institutrice. proches des turcs et musulmans ils ne plaisent pas à Pékin qui doit les ‘rééduquer’

Bien dit ! Sans doute que dans le monde des « geeks », personne n’a entendu parler des Ouïgours ! Dans le monde réel hélas oui !

Avec Tim Cook, ça va changer. Comme c'est un gars très engagé (comme on a pu le constater dans son très courageux plaidoyer en faveur de la communauté LBGT aux USA), il faut s'attendre à un sévère communiqué de sa part indiquant que les persécutions dont est victime la communauté Ouighours vont à l'encontre des valeurs d'humanisme et de respect des diversités véhiculées par Apple. Je suis sûr que les autorités chinoises commencent à avoir le falzar qui leur colle aux fesses.




Nan j'déconne.

Ce message a été modifié par divoli - 7 Sep 2019, 17:37.

[otto87]

Le spécialiste en communication = emetteur de vent!

[ungars]

Je ne vois toujours pas ou est le probleme reel : depuis fort longtemps (debut de la 3G ?) on sait que plus il y a de lignes de code et plus il y a de failles potentielles

La prudence doit remplacer l'exuberance

Même avec peu de lignes de code on peut faire de grosses bourdes, je l'ai vu. Même si c'est sur des types d'applications qui n'ot rien à voir avec iOS.

[iAPX]

Et pendant ce temps-là les ventes d'iPhone...

Mon opérateur propose l'iPhone XR 64Go à 455 € ttc, soit -55% par rapport au prix publique officiel.
Avec crédit gratuit (0%) sur 24 mois en bonus.

-55% avec crédit gratuit 24mois: moi ça m'en raconte beaucoup...

[Guest_anonym_d019ede3_*]

Et pendant ce temps-là les ventes d'iPhone...

Mon opérateur propose l'iPhone XR 64Go à 455 € ttc, soit -55% par rapport au prix publique officiel.
Avec crédit gratuit (0%) sur 24 mois en bonus.

-55% avec crédit gratuit 24mois: moi ça m'en raconte beaucoup...

Ça peut tout aussi bien en raconter sur ton opérateur…

[otto87]

Et pendant ce temps-là les ventes d'iPhone...

Mon opérateur propose l'iPhone XR 64Go à 455 € ttc, soit -55% par rapport au prix publique officiel.
Avec crédit gratuit (0%) sur 24 mois en bonus.

-55% avec crédit gratuit 24mois: moi ça m'en raconte beaucoup...

Ça peut tout aussi bien en raconter sur ton opérateur…

L'opérateur te ferait un cadeau de 500 euros sur 24 mois soit 20 euros par mois mon petit doigt me crie que ça ne vient pas que de l'opérateur!
Sachant que vers chez nous pour 20 euros, on a déjà des forfaits quasi illimités!
En fait le forfait est gratuit

Apple voit la prochaine crise se poindre et diminue les prix de manière cachée histoire de ne pas montrer ostensiblement leurs abus du passé!

Ce message a été modifié par otto87 - 7 Sep 2019, 23:07.

[Fafnir]

Qui dira le premier que les bogues sont une espèce en voie de disparition sur une courbe asymptotique.

[otto87]

Qui dira le premier que les bogues sont une espèce en voie de disparition sur une courbe asymptotique.

Le service communication d'Apple

[zero]

Mais Google a des failles dans le noyau d'Android, notamment la dernière permettant l'escalade de droits, et qui après plus de 6 mois n'est pas comblée et que Google ne semble pas vouloir combler. Lire ici (en Anglais)

En plus des failles, Android a un problème récurent avec souvent des applis qui ne fonctionnent plus après une mise à jour faite en douce et pas moyen de revenir en arrière, il faut attendre des jours, des semaines, voir plus pour que les devs daignent faire fonctionner l'appli.

Une mise à jour en douce ? Pas moyen de revenir en arrière ? Au niveau de l'OS ou bien des dites applications ?

Les deux. Des fois ça demande de faire la mise à jour et des fois non, mais peu importe si ça demande ou pas, c'est le fait que ça arrive trop souvent qui est chiant et pas moyen de revenir en arrière. Quand c'est fait, c'est.

Si c'est au niveau de l'OS, malheureusement, c'est tout pareil à Cupertino.

Oui mais je n'ai rencontré ce problème qu'après une mise à jour majeure d'iOS pas lors de "petite" maj. (D'ailleurs, c'est assez rare de pouvoir faire une maj majeure d'Android sur un smarphone.)

Et ça n'a aucun rapport avec la sécurité des OS, là aussi.

C'est pour ça que j'ai écrit "En plus des failles". Le rapport, c'est que les deux sont chiants sur Android.

Ce message a été modifié par zero - 8 Sep 2019, 02:06.

[broitman]

Les mises a jour d'ANDROID sont surtout la responsabilite des fabricants de smartphones qui organisent leur sur-couche

C'est donc le volonte de ceux ci qui determine la taille et la frequence des mises a jour entre ceux qui trainent (Samsung)

et ceux qui reagissent quasi immediatement si Google leur signale un probleme ( ONEPLUS ou XIAOMI)

[MixUnix]

Qu'Apple et les autres arrêtent de nous bassiner avec la sécurité de leurs OS, c'est pur mensonge.
Ils sont tous redevables envers les services de l'état US.
Ils doivent fournir tout ce qu'on leur demande, malgré leurs allégations de veuves effarouchées !

[vlady]

Apple doit juste dire merci à Google (pour le travail accompli) et fermer sа gueule.

https://arstechnica.com/information-technol...pped-by-google/

Comme quoi, abandonner agressivement des techs utiles (openGL, par exemple), avoir une gamme de produits ridiculement petite, pour être soit disant "focusé" ne donne pas de résultats extrêmement spectaculaires (pour la sécurité en tout cas). En général, l'approche "security by obscurity", pratiqué à l'outrance par Apple, ne donne rien de bon. Je n'ose même pas imaginer le désastre, si iOS était aussi ouvert qu'Android !

Ce message a été modifié par vlady - 8 Sep 2019, 10:19.

[Sethy]

Qui dira le premier que les bogues sont une espèce en voie de disparition sur une courbe asymptotique.

Est-ce que finalement, l'approche de Microsoft dont Windows 10 a maintenant 4 ans n'est pas plus rationnelle que de sortir un OS tous les ans ?

[Guest_anonym_d019ede3_*]

Est-ce que finalement, l'approche de Microsoft dont Windows 10 a maintenant 4 ans n'est pas plus rationnelle que de sortir un OS tous les ans ?

Ce n'est pas pour rien que Snow Leopard reste le dernier OSX de référence en matière de stabilité presque 10 ans après…

[iAPX]

Apple doit juste dire merci à Google (pour le travail accompli) et fermer sа gueule.

https://arstechnica.com/information-technol...pped-by-google/

Comme quoi, abandonner agressivement des techs utiles (openGL, par exemple), avoir une gamme de produits ridiculement petite, pour être soit disant "focusé" ne donne pas de résultats extrêmement spectaculaires (pour la sécurité en tout cas). En général, l'approche "security by obscurity", pratiqué à l'outrance par Apple, ne donne rien de bon. Je n'ose même pas imaginer le désastre, si iOS était aussi ouvert qu'Android !

J'appelle cette technique "Security by Obscurantism", ce qui la qualifie mieux à mon sens et explique ses résultats

Ce message a été modifié par iAPX - 8 Sep 2019, 14:16.

[chombier]

Le spécialiste en communication = emetteur de vent!

Quand on met de la merde dans un ventilateur, il faut s'attendre à ce que tout le monde soit éclaboussé.

[edit]
Un article très intéressant, et probablement à l'origine de la réaction d'Apple:
https://googleprojectzero.blogspot.com/2019...os-exploit.html
[/edit]

Ce message a été modifié par chombier - 8 Sep 2019, 14:58.