FaceTime : la faille a été trouvée par un ado qui jouait à Fortnite

Avant que le bug nommé désormais « Facepalm » d’Apple ne fasse la une des journaux, la mère d’un garçon de 14 ans a essayé d’avertir le géant de la technologie de cette vulnérabilité. Sans succès.

C’est un appel FaceTime lancé le 19 janvier par le fils de Michele Thompson, tel que rapporté par le site CNET, qui a lancé l’affaire. L’adolescent a ajouté un ami à sa conversation de groupe et malgré le fait qu’il n’avait pas encore décroché son téléphone, celui-ci a pu écouter les conversations.

Le fils, Grant Thompson a répliqué la faille de sécurité un certain nombre de fois avant de signaler la vulnérabilité à sa mère – qui a essayé en vain de contacter le fabricant de l’iPhone et de l’iPad.

Michele Thompson a d’abord pris l’initiative sur Twitter, avertissant que la « faille de sécurité majeure » du nouvel iOS d’Apple a permis à son fils « d’écouter un iPhone / iPad sans (…) accord ». The Verge signale que la vulnérabilité peut également être utilisée pour afficher les flux vidéo en direct si le destinataire appuie sur les boutons de droite ou sur le bouton Volume pour ignorer un appel entrant.

Ensuite elle a envoyé des messages sur Facebook, des courriels à Apple directement, elle a même envoyé des tweets au PDG d’Apple Tim Cook. N’ayant pas réussi à capter l’intérêt d’Apple, Michele Thompson lui a ensuite envoyé un fax concernant la faille de sécurité portant l’en-tête de sa société.

Toujours rien. Et c’est ainsi qu’une vidéo YouTube démontrant comment le bogue pouvait être exploité a ensuite été uploadé et envoyé à Apple. « J’ai fait de mon mieux pour le leur signaler, mais ils n’ont pas écouté » a dit Michele Thompson.

Pour la défense d’Apple, le géant de la technologie doit recevoir d’innombrables rapports de bugs faux ou invalides, et donc séparer les causes d’inquiétude réelles et légitimes du bruit général doit être une bataille constante.

Un représentant d’Apple a finalement demandé à la mère de l’enfant de 14 ans de soumettre le rapport de bug aux développeurs de l’entreprise. Ce qu’elle a fait le vendredi.

La vulnérabilité a été rendue publique le lundi, jour de la Protection des données (oui, c’est ironique). Quelques heures avant que la vulnérabilité ne devienne virale, Tim Cook tweetait, « insistons tous pour que des mesures et des réformes soient prises afin de protéger la vie privée ».

Le programme de Bug Bounty d’Apple offre des centaines de milliers de dollars pour la découverte des bugs de sécurité valides qui affectent son écosystème. La découverte de ces vulnérabilités peuvent atteindre des millions de dollars si elles sont vendues à des exploitants privés.

L’un de ces commerçants est Zerodium, qui paient jusqu’à 2 millions de dollars aux chasseurs de primes de bugs. Vendre ces découvertes à ces commerçants, cependant, exige que les rapports de bugs restent confidentiels et ne soient pas divulgués au fournisseur qu’ils affectent. Et ces bogues peuvent se retrouver entre les mains d’entités gouvernementales, de forces de l’ordre ou d’autres sociétés. De quoi empêcher la sécurisation des systèmes touchés.

Apple a désormais pris la faille de sécurité au sérieux et a l’intention de publier une mise à jour du logiciel cette semaine pour résoudre ce problème. Entre-temps, la société a désactivé la fonctionnalité de chat de groupe de FaceTime, qui a été introduite dans la mise à jour iOS 12.1. Bien que les utilisateurs puissent toujours appeler des utilisateurs individuels via FaceTime, la décision de désactiver la fonction Group FaceTime côté serveur empêche les hackers d’exploiter le bogue jusqu’à ce qu’un patch soit publié.

Apple a par ailleurs publié mardi ses résultats financiers du premier trimestre 2019. La société de Cupertino, en Californie, a déclaré un bénéfice de 4,18 $ par action sur un chiffre d’affaires de 84,3 milliards de dollars, soit une baisse de 5 % sur douze mois.

Article « Severe vulnerability in Apple FaceTime found by Fortnite player » traduit et adapté par ZDNet.fr

Go to Source


bouton-devis