iOS 13.5.1 bloque le jailbreak et comble donc une faille de sécurité, Réactions à la publication du 02/06/2020

[Lionel]

Peu de temps après la sortie d'iOS 13.5, Apple a mis en ligne une version 13.5.1.
Sans surprise, sa principale raison d'être est de corriger la faille permettant de jailbreaker l'appareil.

[MàJ] Apple a cessé de signer iOS 13.5. Il n'est donc plus possible de le réinstaller.

Lien vers le billet original

[JayTouCon]

Donc en gros tant qu’il n’y a pas de publicité autour des failles de sécurité la pomme prend son temps et puis dès lors que cela devient trop gros, que cela dure, qu’un site promouvant le jailbreak est lancé, que sa pub pour la préservation de la vie privée et de la sécurité est contredite par les faits, alors oui, là, enfin il y a correctif.

Vous embêtez pas à cupertino, installez directement android.

C’est bien la peine de vendre ses téléphones à plus de 1000€ ouverts à tous vents. Ce n’est pas tant qu’il y ait des failles (un peu quand même) mais c’est le temps qu’il leur faut pour les combler..

[downanotch]

Grosso modo une semaine entre le moment où la faille est identifié (via la sortie de unCover) et le moment où elle est comblée, c'est plutôt pas mal.

[JayTouCon]

Euh non c’est plus.

[Macintox]

est ce que cette version 13.5.1 corrige aussi le bug des app qui ne s'ouvrent plus ?

https://www.imore.com/major-ios-135-bug-pre...-apps-launching

Ce message a été modifié par Macintox - 2 Jun 2020, 09:52.

[Pascal Funk]

Une chose qui m'est obscure.Le jailbreak possible,ce n'est pas une faille.
Pour moi une faille c'est un danger venant de "l'extérieur"....Donc si Pierre ou Paul veulent jailbreaker....Ils ne font pas la mage..Tout simplement ^^

Ou un truc m'échappe

[Lionel]

Une chose qui m'est obscure.Le jailbreak possible,ce n'est pas une faille.
Pour moi une faille c'est un danger venant de "l'extérieur"....Donc si Pierre ou Paul veulent jailbreaker....Ils ne font pas la mage..Tout simplement ^^

Ou un truc m'échappe

Pour jailbreaker, il faut outrepasser les sécurités de l'appareil. C'est donc une faille de sécurité. Dans ce cas elle nécessite un accès physique, mais dans tous les cas permet d'accéder au contenu de l'appareil. Donc...

[downanotch]

Euh non c’est plus.

unCover a été dévoilé le 25 mai, le patch est sorti le 1 juin. Ça fait grosso modo une semaine.

[Lionel]

Euh non c’est plus.

unCover a été dévoilé le 25 mai, le patch est sorti le 1 juin. Ça fait grosso modo une semaine.

La faille circulait dans le milieu des hackers bien avant, avant même la sortie de la 13.5.
https://www.lesnumeriques.com/telephone-por...te-n150501.html
il y a tellement de failles iOS qu'elles ne valent plus grand chose sur le marché...

[downanotch]

La faille circulait dans le milieu des hackers bien avant, avant même la sortie de la 13.5.

On mesure le temps de réaction d'un éditeur à partir du moment où il est au courant le faille. Et un des auteurs du jailbreak a confirmé qu'il se base sur une faille alors inconnue d'Apple.

Il dit également que les iPhone sont chaque années plus sûrs et que l'existence de cette faille n'est pas un signe de dégradation de la sécurité, mais qu'elle est due à l'augmentation de la surface d'attaque dû aux nombreuses nouvelles fonctionnalités qui sont ajoutées à iOS.

Ce message a été modifié par downanotch - 2 Jun 2020, 10:22.

[JayTouCon]

@lionel m'a devancé.

il y avait aussi celle là. https://www.igen.fr/ios/2020/04/ios-1345-va...ans-mail-114507
https://www.phonandroid.com/google-publie-u...pple-watch.html

encore une fois, ce n'est pas que du coté d'androïd ce soit magnifique et magique, c'est que le discours de cupertino est en décalage total avec la réalité et que son couplet sur la préservation de la vie privée et de la sécurité est de la poudre markéting destinée à justifier les tarifs.

sans oublier le cocktail explosif avec les données de santé poussées par la montre.

[codeX]

@lionel m'a devancé.

il y avait aussi celle là. https://www.igen.fr/ios/2020/04/ios-1345-va...ans-mail-114507
https://www.phonandroid.com/google-publie-u...pple-watch.html

encore une fois, ce n'est pas que du coté d'androïd ce soit magnifique et magique, c'est que le discours de cupertino est en décalage total avec la réalité et que son couplet sur la préservation de la vie privée et de la sécurité est de la poudre markéting destinée à justifier les tarifs.

sans oublier le cocktail explosif avec les données de santé poussées par la montre.

T'as encore quelque chose à vomir ? STOP, tu vas finir pas couler Apple à toi tout seul

[Lionel]

La faille circulait dans le milieu des hackers bien avant, avant même la sortie de la 13.5.

On mesure le temps de réaction d'un éditeur à partir du moment où il est au courant le faille. Et un des auteurs du jailbreak a confirmé qu'il se base sur une faille alors inconnue d'Apple.

Il dit également que les iPhone sont chaque années plus sûrs et que l'existence de cette faille n'est pas un signe de dégradation de la sécurité, mais qu'elle est due à l'augmentation de la surface d'attaque dû aux nombreuses nouvelles fonctionnalités qui sont ajoutées à iOS.

Le plus intéressant dans mon message est la partie que tu as oublié de citer et de commenter.

[marc_os]

Euh non c’est plus.

unCover a été dévoilé le 25 mai, le patch est sorti le 1 juin. Ça fait grosso modo une semaine.

La faille circulait dans le milieu des hackers bien avant, avant même la sortie de la 13.5.
https://www.lesnumeriques.com/telephone-por...te-n150501.html
il y a tellement de failles iOS qu'elles ne valent plus grand chose sur le marché...

Ah ça c'est de l'argumentation scientifique : « Un marchand de failles de sécurité tire la sonnette d'alarme »
Un marchand !
« celles dont sont victimes les systèmes Apple, iOS en particulier, sont tellement nombreuses qu'elles perdent de leur valeur »
Qui ne s'intéresse qu'à ses profits, pas à la sécurité.
Pour preuve, leur message même : Ça rapporte pas assez, on se barre !
Rien à battre de la sécurité, le profit capitaliste est LA seule vocation d'être de cette entreprise. La sécurité n'est pas un objectif en soi pour ces gens là, mais seulement un moyen de s'enrichir.
Enfin, le clou du spectacle : « sont tellement nombreuses »
Or, affirmer n'est pas prouver !

La faille circulait dans le milieu des hackers bien avant, avant même la sortie de la 13.5.

On mesure le temps de réaction d'un éditeur à partir du moment où il est au courant le faille. Et un des auteurs du jailbreak a confirmé qu'il se base sur une faille alors inconnue d'Apple.

Il dit également que les iPhone sont chaque années plus sûrs et que l'existence de cette faille n'est pas un signe de dégradation de la sécurité, mais qu'elle est due à l'augmentation de la surface d'attaque dû aux nombreuses nouvelles fonctionnalités qui sont ajoutées à iOS.

Le plus intéressant dans mon message est la partie que tu as oublié de citer et de commenter.

De ta non réponse et ta façon de botter en touche, je déduis que tu n'as pas d'argument valable à opposer à downanotch quant à sa réponse à la première partie de ton commentaire.

Ce message a été modifié par marc_os - 2 Jun 2020, 11:34.

[schwinny]

Euh non c’est plus.

unCover a été dévoilé le 25 mai, le patch est sorti le 1 juin. Ça fait grosso modo une semaine.

La faille circulait dans le milieu des hackers bien avant, avant même la sortie de la 13.5.
https://www.lesnumeriques.com/telephone-por...te-n150501.html
il y a tellement de failles iOS qu'elles ne valent plus grand chose sur le marché...

@lionel.

une faille majeure permettant un jailbreak Unthetered ne valait pas 1millions il y a un an ?
est ce toujours le cas ?

[Lionel]

Euh non c’est plus.

unCover a été dévoilé le 25 mai, le patch est sorti le 1 juin. Ça fait grosso modo une semaine.

La faille circulait dans le milieu des hackers bien avant, avant même la sortie de la 13.5.
https://www.lesnumeriques.com/telephone-por...te-n150501.html
il y a tellement de failles iOS qu'elles ne valent plus grand chose sur le marché...

@lionel.

une faille majeure permettant un jailbreak Unthetered ne valait pas 1millions il y a un an ?
est ce toujours le cas ?

Je n'ai pas regardé, mais une faille que l'on peut exploiter à distance reste toujours le saint graal

[DiarOne]

Euh non c’est plus.

unCover a été dévoilé le 25 mai, le patch est sorti le 1 juin. Ça fait grosso modo une semaine.

La faille circulait dans le milieu des hackers bien avant, avant même la sortie de la 13.5.
https://www.lesnumeriques.com/telephone-por...te-n150501.html
il y a tellement de failles iOS qu'elles ne valent plus grand chose sur le marché...

Ah ça c'est de l'argumentation scientifique : « Un marchand de failles de sécurité tire la sonnette d'alarme »
Un marchand !
« celles dont sont victimes les systèmes Apple, iOS en particulier, sont tellement nombreuses qu'elles perdent de leur valeur »
Qui ne s'intéresse qu'à ses profits, pas à la sécurité.
Pour preuve, leur message même : Ça rapporte pas assez, on se barre !
Rien à battre de la sécurité, le profit capitaliste est LA seule vocation d'être de cette entreprise. La sécurité n'est pas un objectif en soi pour ces gens là, mais seulement un moyen de s'enrichir.
Enfin, le clou du spectacle : « sont tellement nombreuses »
Or, affirmer n'est pas prouver !

La faille circulait dans le milieu des hackers bien avant, avant même la sortie de la 13.5.

On mesure le temps de réaction d'un éditeur à partir du moment où il est au courant le faille. Et un des auteurs du jailbreak a confirmé qu'il se base sur une faille alors inconnue d'Apple.

Il dit également que les iPhone sont chaque années plus sûrs et que l'existence de cette faille n'est pas un signe de dégradation de la sécurité, mais qu'elle est due à l'augmentation de la surface d'attaque dû aux nombreuses nouvelles fonctionnalités qui sont ajoutées à iOS.

Le plus intéressant dans mon message est la partie que tu as oublié de citer et de commenter.

De ta non réponse et ta façon de botter en touche, je déduis que tu n'as pas d'argument valable à opposer à downanotch quant à sa réponse à la première partie de ton commentaire.

Encore une réaction qui n'apporte rien et qui ne fait que rabaisser les autres...
Désolé mais à vous lire, je ne vois rien d'intéressant à retenir.

[Twisell]

il y a tellement de failles iOS qu'elles ne valent plus grand chose sur le marché...

Source?

Parce que par définition elles doivent au moins valoir plus que ce que le programme de récompenses d'Apple ne prévoit...
Sinon Apple serait bien con de ne pas racheter les failles en soldes sur un marché noir ou elles ne "vaudraient plus rien".

Ce message a été modifié par Twisell - 2 Jun 2020, 16:04.

[Lionel]

il y a tellement de failles iOS qu'elles ne valent plus grand chose sur le marché...

Source?

Parce que par définition elles doivent au moins valoir plus que ce que le programme de récompenses d'Apple ne prévoit...
Sinon Apple serait bien con de ne pas racheter les failles en soldes sur un marché noir ou elles ne "vaudraient plus rien".

Tu te fous de moi ?
Regarde le lien juste au dessus de ma citation.
Tiens:
https://twitter.com/Zerodium/status/1260541578747064326

[downanotch]

https://twitter.com/Zerodium/status/1260541578747064326

Le directeur de la stratégie de sécurité chez Intel a qualifié cette annonce de Zerodium de "pure magouille marketing". A relativiser un peu donc…

Ce message a été modifié par downanotch - 2 Jun 2020, 17:21.

[vlady]

https://twitter.com/Zerodium/status/1260541578747064326

Le directeur de la stratégie de sécurité chez Intel a qualifié cette annonce de Zerodium de "pure magouille marketing". A relativiser un peu donc…

Eh oui, avec les failles en pagaille (voir section "Security vulnerabilities") :

https://en.wikipedia.org/wiki/Intel_Management_Engine

Meltdown et Spectre c'est un grand spécialiste, Intel...
Et surtout avec son éternel 14nm, question "magouille marketing", Intel est un fin connaisseur.

Ce message a été modifié par vlady - 2 Jun 2020, 17:50.

[JayTouCon]

Euh non c’est plus.

unCover a été dévoilé le 25 mai, le patch est sorti le 1 juin. Ça fait grosso modo une semaine.

Non (ou alors tu occultes volontairement ce qui suit)

on pouvait trouver ceci le 25 mai sur M4ever
https://www.mac4ever.com/actu/153804_deja-u...e-sous-ios-13-5

je cite Les hackers utilisent en réalité une faille découverte par Pwn20wnd au niveau du noyau et qui permet de débloquer toute la sécurité des iPhone. Apple n'a donc pas profité de son dernier update pour la patcher, et expose alors des millions d'appareils potentiel


ca c'était le 25 mai, mais dans la phrase il y a le passage en gras. unC0ver à profité d'une faille qui existait déjà, découverte par Pwn20wnd. elle était par conséquent antérieur et n'avait pas été corrigée, comblée et ne l'a été qu'hier.

[downanotch]

Oui, en principe quand un hacker découvre une faille, c'est que la faille existe déjà Ça ne veut pas dire que l'éditeur est au courant.

Dans le cas qui nous intéresse ici, celui qui l'a découverte affirme qu'Apple n'était pas au courant. Je pense qu'il y a difficilement mieux placé que lui pour le savoir !

The new unc0ver jailbreak relies on a vulnerability that the researcher who found it says Apple is unaware of.

On notera également que l'article cité comme source par Mac4ever (chez 9to5mac) ne contient rien qui permet d'affirmer qu'Apple était au courant avant que le jailbreak ne soit dévoilé.

Ce message a été modifié par downanotch - 2 Jun 2020, 19:57.

[JayTouCon]

Tu le fais exprès ou bien ?

Tu es en train de nous expliquer que ce n’est Qu’au moment du jailbreak que la pomme a découvert cette faille ? C’est bien cela ? Qu’elle n’en avait pas connaissance auparavant ? C’est bien ce que tu affirmes?

Tain sont forts chez m4ever, ils connaissent une faille révélée par un Hacker et La pomme n’était même pas au courant, elle attend un jailbreak Officiel pour s’en rendre compte.

Par ce que c’est exactement ce que tu viens de dire.

[chombier]

https://twitter.com/Zerodium/status/1260541578747064326

Le directeur de la stratégie de sécurité chez Intel a qualifié cette annonce de Zerodium de "pure magouille marketing". A relativiser un peu donc…

Un communiqué d'une boîte qui vend ses processeurs à Apple, processeurs bourrés de failles de sécurité, sans compter leur passoire d'IME ?
Ouais ouais, à relativiser donc...

[downanotch]

Tain sont forts chez m4ever, ils connaissent une faille révélée par un Hacker et La pomme n’était même pas au courant, elle attend un jailbreak Officiel pour s’en rendre compte.

Non, elle attend le jailbreak pour le décortiquer et comprendre où est la faille.

[Gallows Pole]

Salut,

La question est-elle de savoir "Quand Apple était au courant de la faille" ?
La question est-elle de savoir combien de temps Apple a mis à réagir pour combler cette faille ?
La question est-elle de savoir si les failles valent encore quelque chose ?

En ce qui me concerne, ces questions je m'en contre-tamponne le coquillard contre une colonne Morris.

Pour moi la question est : Comment est-il possible qu'il y ait autant de failles ?

Je suis sans doute naïf, mais j'imagine que derrière iOS on trouve :
- une équipe entière, et pas seulement un gars dans un garage ;
- l'équipe a accès aux dernières technologies et à des machines super puissantes ;
- que les membres qui la composent ont été recrutés avec soin parmi "les meilleurs" ;
- que les sommes consacrées à ce développement sont faramineuses ;
- qu'en conséquence les salaires versés doivent être plutôt corrects...

Dans ces conditions, la question est :
- comment peut-il y avoir autant de failles ? Est-ce volontaire ?
- comment peut-il y avoir autant de failles qu'un hacker (mais c'est quoi un hacker ? un geek isolé dans son garage ? Ou un groupe super actif financé par un État ?) parvient à découvrir ?

Tout le reste, est inintéressant pour moi...

A+

[teac68]

Ah ça c'est de l'argumentation scientifique : « Un marchand de failles de sécurité tire la sonnette d'alarme »
Un marchand !
« celles dont sont victimes les systèmes Apple, iOS en particulier, sont tellement nombreuses qu'elles perdent de leur valeur »
Qui ne s'intéresse qu'à ses profits, pas à la sécurité.
Pour preuve, leur message même : Ça rapporte pas assez, on se barre !
Rien à battre de la sécurité, le profit capitaliste est LA seule vocation d'être de cette entreprise. La sécurité n'est pas un objectif en soi pour ces gens là, mais seulement un moyen de s'enrichir.
Enfin, le clou du spectacle : « sont tellement nombreuses »
Or, affirmer n'est pas prouver !

Tu devrais te renseigner sur Zerodium ... il affirme en toute connaissance de cause, lui !

[fudo]

Euh sinon j'ai pas tout compris
Quand le jailbreak est possible... si on est curieux et tenté pour le faire il faut se dépêcher avant que Apple ne comble la faille et sorte une nouvelle version et surtout avant qu'elle désactive la version posant problème pour rendre la nouvelle version obligatoire pour tous ?
Je suis en 13.3 et effectivement on ne me propose que du 13.5.1
Je peux faire le jailbreak encore ou pas ?
Merci

[cheno]

Bonjour,

Est-ce que les échanges sur ce forum sont toujours autant teintés d'agressivité ?
C'est triste.

Laurent