Version imprimable du sujet
Cliquez ici pour voir ce sujet dans son format original
Forums MacBidouille _ Macbidouille Articles & News : Vos Réactions _ Apple lance un programme pour lutter contre le piratage qui ne fait pas l'unanimité
Écrit par : Lionel 23 Jul 2020, 14:58
Apple a annoncé avoir lancé un programme appelé SRD.
Ce programme vise à recruter des spécialistes en sécurité afin qu'ils aident à traquer les failles de sécurité sous iOS.
Pour cela, la société fournit un iPhone spécialement dédié à la recherche de faille. Cet appareil proche d'un iPhone classique permet quand même un accès Shell et un choix des droits donnés au départ.
Comme le rapporte ZDNET, ce programme est loin de faire l'unanimité dans la communauté des hackers et de grands noms comme Google Project 0 ont annoncé qu'ils n'adhéreront pas à ce programme. La raison en est simple.
En signant ce programme, les développeurs s'engagent bien entendu à informer Apple de la découverte de failles, mais aussi de ne pas les communiquer à des tiers, dont le grand public, tant que la société ne leur en aura pas donné le feu vert. Pour eux, Apple s'octroie donc la possibilité de museler indéfiniment ces découvertes.
Les chercheurs craignent qu'une telle clause ne puisse être utilisée par Apple pour trainer des pieds à régler les bugs autant qu'elle le voudra.
Ce n'est pas bon pour le grand public qui a confiance dans ses appareils. Actuellement, la règle généralement utilisée veut que les failles soient rendues publiques par leur découvreur 90 jours après leur signalement.
http://macbidouille.com/news/2020/07/23/apple-lance-un-programme-pour-lutter-contre-le-piratage-qui-ne-fait-pas-lunanimite
Écrit par : Padbol38 23 Jul 2020, 15:28
Ah la vache ! Elle est loin la pub "Big Brother"...
Écrit par : Pat94 23 Jul 2020, 15:46
Normal c'est inversement proportionnel à la valeur boursière de la société et en ce moment la pomme s'envole, mais il reste à savoir quand, elle va se bruler les ailes.
Écrit par : Papalou 23 Jul 2020, 16:10
C'est un partenariat avec Dolby ?
Écrit par : Jack the best 23 Jul 2020, 16:23
Normal c'est inversement proportionnel à la valeur boursière de la société et en ce moment la pomme s'envole, mais il reste à savoir quand, elle va se bruler les ailes.
Quand la pomme se brûlera les ailes, cela sentira la compote ?
Écrit par : ekami 23 Jul 2020, 18:22
Apple à pris la confiance, après les iGlasses, leur prochain gadget orienté santé se nommera sobrement i, i comme iCare (comme le film éponyme).
Écrit par : Fafnir 23 Jul 2020, 18:38
Les chercheurs craignent qu'une telle clause ne puisse être utilisée par Apple pour trainer des pieds à régler les bugs autant qu'elle le voudra."...
quel est la durée d'indéfiniment dans ce secteur? je suppose qu'Apple par exemple fera le nécessaire pour la prochaine version mais aura tendance à procrastiner pour proposer un patch de version déjà disponible?
Écrit par : broitman 23 Jul 2020, 21:58
Effectivement, cela permet de museler les chercheurs
Écrit par : anonym_d019ede3 24 Jul 2020, 00:53
Qu'en est-il surtout du programme de primes relatives à la découvertes de failles s'ils ont leur propre service recruté ?
https://consomac.fr/news-10988-apple-etend-ses-primes-pour-la-decouverte-de-failles.html
https://www.leparisien.fr/high-tech/apple-offre-un-million-de-dollars-a-qui-saura-hacker-un-iphone-10-08-2019-8131791.php
Les failles devront être déposées auprès d'un service comme pour un brevet, sinon on ne saura si ledit service a déjà découvert la faille sans la révéler, ou s'ils l'affirment alors qu'un hacker tiers la découvre pour ne pas payer la prime.
Ça risque de partir engorger des tribunaux ces histoires encore…
Newton s'en retourne dans sa tombe…
Écrit par : cfendt 24 Jul 2020, 08:49
Alors
- quand il n’y a pas de programme: c’est pas acceptable...
- quand elle crée un programme : c’est honteux de devoir être enregistré pour pouvoir y participer !
- quand il n’y a pas d’iPhone « déplombés »: c’est un scandale... (obligé de passer par le Jailbreak...)
Tout le monde sait que la pomme est : secrète, retissante au changement, déteste la communication si elle n’est pas contrôlée par ses soins...
Elle fait un pas en avant : c’est une bonne nouvelle je trouve!
Alors oui, c’est vrai, c’est perfectible... je connais assez bien le monde de sécurité informatique, et oui c’est pas les pratiques « standards »... mais avant il n’y avait rien!
Je pense qu’on peut souligner ces efforts...
Et puis je suis sur que si la pomme ne corrige pas dans les temps, il y aura des malins pour dire « on a trouvé un truc... c’est hyper grave... et ils ne font rien depuis plus de 6 mois!!! »... ensuite on trouvera un petit nom marketing à la faille (dont on ne connaîtra rien... secret oblige) genre « Zombie attack »... et puis sous la pression médiatique, Apple changera en douce les conditions de son programme pour promettre au monde de la sécurité de faire mieux la prochaine fois !!!
Bref: la porte est entrouverte, et les experts ont le pied dedans... donc la porte ne se refermera plus, bien au contraire !
Écrit par : Lionel 24 Jul 2020, 09:04
- quand il n’y a pas de programme: c’est pas acceptable...
- quand elle crée un programme : c’est honteux de devoir être enregistré pour pouvoir y participer !
- quand il n’y a pas d’iPhone « déplombés »: c’est un scandale... (obligé de passer par le Jailbreak...)
Tout le monde sait que la pomme est : secrète, retissante au changement, déteste la communication si elle n’est pas contrôlée par ses soins...
Elle fait un pas en avant : c’est une bonne nouvelle je trouve!
Alors oui, c’est vrai, c’est perfectible... je connais assez bien le monde de sécurité informatique, et oui c’est pas les pratiques « standards »... mais avant il n’y avait rien!
Je pense qu’on peut souligner ces efforts...
Et puis je suis sur que si la pomme ne corrige pas dans les temps, il y aura des malins pour dire « on a trouvé un truc... c’est hyper grave... et ils ne font rien depuis plus de 6 mois!!! »... ensuite on trouvera un petit nom marketing à la faille (dont on ne connaîtra rien... secret oblige) genre « Zombie attack »... et puis sous la pression médiatique, Apple changera en douce les conditions de son programme pour promettre au monde de la sécurité de faire mieux la prochaine fois !!!
Bref: la porte est entrouverte, et les experts ont le pied dedans... donc la porte ne se refermera plus, bien au contraire !
Mais ce programme est bien, l'iPhone en outil est une bonne chose, mais pourquoi rajouter cette clause inacceptable ?
Écrit par : linus 24 Jul 2020, 09:29
- quand il n’y a pas de programme: c’est pas acceptable...
- quand elle crée un programme : c’est honteux de devoir être enregistré pour pouvoir y participer !
- quand il n’y a pas d’iPhone « déplombés »: c’est un scandale... (obligé de passer par le Jailbreak...)
Tout le monde sait que la pomme est : secrète, retissante au changement, déteste la communication si elle n’est pas contrôlée par ses soins...
Elle fait un pas en avant : c’est une bonne nouvelle je trouve!
Alors oui, c’est vrai, c’est perfectible... je connais assez bien le monde de sécurité informatique, et oui c’est pas les pratiques « standards »... mais avant il n’y avait rien!
Je pense qu’on peut souligner ces efforts...
Et puis je suis sur que si la pomme ne corrige pas dans les temps, il y aura des malins pour dire « on a trouvé un truc... c’est hyper grave... et ils ne font rien depuis plus de 6 mois!!! »... ensuite on trouvera un petit nom marketing à la faille (dont on ne connaîtra rien... secret oblige) genre « Zombie attack »... et puis sous la pression médiatique, Apple changera en douce les conditions de son programme pour promettre au monde de la sécurité de faire mieux la prochaine fois !!!
Bref: la porte est entrouverte, et les experts ont le pied dedans... donc la porte ne se refermera plus, bien au contraire !
Mais ce programme est bien, l'iPhone en outil est une bonne chose, mais pourquoi rajouter cette clause inacceptable ?
Pourquoi pas, tout simplement, un truc d'avocat pour se protéger contre la découverte d'un bug impossible à corriger du genre de ceux dans les processeurs Intel du style Meltdown plutôt qu'une volonté de museler les chercheurs en sécurité ?
Écrit par : Lionel 24 Jul 2020, 10:32
ET ? Si la faille existe, il faut qu'on le sache, sinon elle sera exploitée à un moment ou un autre en 0-Day.
Écrit par : cfendt 24 Jul 2020, 12:05
ET ? Si la faille existe, il faut qu'on le sache, sinon elle sera exploitée à un moment ou un autre en 0-Day.
c'est clair que ça ne tiendra jamais... surtout pour une boite qui (essaye de) vendre la protection des données personnelles à ses client...
"on partage vos données avec personne... mais tout le monde peut de toute façon y accéder en passant par la fenêtre!" (sans jeu de mots fenêtre/ windows)
A quand une garantie avec des SLA clairs ? Pourquoi ne pas garantir 5 ans de MàJ de l'OS alors que dans les faits, c'est le cas ? (surtout que ce serait un super argument commercial! et surtout sur le segment des pros!)
Je pense que la réponse est juste : parce que c'est Apple !
J'habite en Allemagne, et on demande aux utilisateur de l'application de traçage COVID de mettre a jour l'OS... si Android Samsung ou Huawei... la raison ? oups, ils ont bloqués l'application en arrière plan et au final CA NE MARCHE PAS!!! c'est pas une faille de sécu... c'est juste un bug connu depuis plus d'un mois! c'est juste jouer avec la santé des gens... ou est le scandale ? Promis: juste samsung et huawei ? Pourquoi 5 semaines pour un correctif ? Pourquoi la communication sur la MàJ vient du ministre et pas de samsung & huawei ?
Bref j'attends les faits : c'est déjà arrivé que apple ne corrige pas en 90 jours...a voir si ça change avec le programme ou pas !
Écrit par : Padbol38 24 Jul 2020, 14:31
ET ? Si la faille existe, il faut qu'on le sache, sinon elle sera exploitée à un moment ou un autre en 0-Day.
Il y a aussi une dimension de prestige pour le hacker bienveillant, à faire savoir qu'il a identifié une faille. Là c'est 0 reconnaissance du coup.
Écrit par : linus 24 Jul 2020, 18:15
ET ? Si la faille existe, il faut qu'on le sache, sinon elle sera exploitée à un moment ou un autre en 0-Day.
Je ne comprends pas ton raisonnement. Si la faille existe et ne peut-être corrigée, publier son existence c'est être sûr qu'elle sera utilisée très vite. Si elle n'est pas publiée, il y a un espoir qu'elle ne soit pas utilisée ou le plus tardivement possible, non ? Si elle est déjà utilisée quand Apple l'apprend et ne peut pas techniquement la corriger ... bon, là il vaudrait peut-être mieux publier l'information mais le bénéfice pour l'utilisateur est minime puisqu'il ne peut rien faire pour s'en prémunir.
Cela me fait penser aux failles découvertes au sein des puces des serveurs "sécurisés" partout dans le monde. Bien ! On le sait et alors ? A part ajouter du stress à l'utilisateur qui ne peut rien y faire sauf arrêter d'utiliser internet, ça apporte quoi ?
A priori je suis pour la transparence mais est elle toujours bénéfique ?
Bien évidemment, comme vous tous, je n'ai aucune illusion sur la parfaite bonne volonté d'Apple ou de n'importe quelle société quand ses intérêts sont en cause. Je voulais juste dire qu'une mention qui fait polémique peut ne pas avoir été sciemment introduite dans un but pernicieux, mais, bien sûr, peut être mal utilisée par la suite.
Écrit par : cfendt 25 Jul 2020, 06:11
A priori je suis pour la transparence mais est elle toujours bénéfique ?
Bien évidemment, comme vous tous, je n'ai aucune illusion sur la parfaite bonne volonté d'Apple ou de n'importe quelle société quand ses intérêts sont en cause. Je voulais juste dire qu'une mention qui fait polémique peut ne pas avoir été sciemment introduite dans un but pernicieux, mais, bien sûr, peut être mal utilisée par la suite.
La question se pose pour une faille compliquée...
- Soit, sachant qu’elle finira par être public, Apple prend le temps de la corriger
- Soit, comme elle coute cher (temps de dev, perf perdue, image de l’entreprise ...) Apple fait jouer la dite clause et espère que personne ne trouvera la faille...
Propulsé par Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)