Apple, des failles qui gratouillent et des failles qui chatouillent

le 28/03/2008, par Marc Olanié, Documentation, 465 mots

Une fois de plus, c'est Apple qui a fait les frais du concours de hacking organisé par CanSecWest. Exposé aux coups de boutoir d'une petite armée de pentester tous aussi compétents les uns que les autres, trois stations -l'une sous OS/X , la seconde sous Vista, la troisième sous Linux- ont du lutter de noyau ferme. Et c'est Charlie Miller, déjà réputé pour ses travaux autour de l'iPhone, qui, le premier, a compromis une machine via une faille Safari. Un compte rendu dans les colonnes du Focus, un autre chez Network World datant du début de la compétition et expliquant les stratégies d'attaque des participants, IT World couvre également l'événement et rappelle que, l'an passé, la palme avait été remportée par Dino Dai Zovi de Matasano, grâce à un exploit QuickTime. Mais c'est David Maynor qui signe le papier le plus perfide, en rappelant que la semaine dernière, Apple publiait l'un des correctifs les plus pléthorique de l'histoire de l'entreprise. Une sorte de « précaution pré-CanSecWest », façon d'éviter de faire la manchette des journaux du soir ? Si c'était là l'intention de l'équipe sécurité du constructeur, l'opération a quelque peu cafouillé. Maynor pose la question clairement : les publications de correctifs chez Apple sont-ils purement cosmétiques et marketing ? Le rythme de correction est-il dépendant du légitime soucis de vouloir protéger les utilisateurs et clients, ou subit-il les fluctuations du cours du Zero Day et des réunions de hackers blancs ? Si c'était le cas, ce serait une preuve supplémentaire du bien fondé des politiques de divulgation responsables non contrôlées par les éditeurs. Et voilà que la réponse arrive -encore- d'IT World, qui sort, hasard du calendrier, les résultats d'une étude révélée durant la Black Hat Conference qui se déroule cette semaine à Amsterdam. Une étude conduite par l'Institut Fédéral de Technologie Helvétique, qui mesurait les temps écoulés entre la révélation et l'écriture d'un correctif, la durée moyenne de la « fenêtre de vulnérabilité » et le nombre de vulnérabilités « connues et non encore corrigées ». 658 trous Microsoft, 738 chez Apple, -d'importances comparables assurent les chercheurs- une étude étalée sur 6 ans, et le constat tombe : quelque chose se faisande dans le royaume du Mac depuis 2005. Avec une moyenne de 20 vulnérabilités -ou moins- non corrigées, la situation semblait plutôt bonne. Mais le nombre de failles non colmatées s'est peu à peu accru, dépassant ce seuil symbolique. Comparativement à son rival Microsoft, les failles « ouvertes » devenaient plus nombreuses chez Apple. Il existe, il a toujours existé, un climat de confiance absolue, presque béate, qui lie les utilisateurs Apple avec la firme américaine. Une confiance justifiée dans la plupart des cas. Mais les statistiques ne trompe pas, surtout les statistiques Suisses : Apple s'endors sur ses lauriers, et vient de prendre deux coups de semonce. Le bruit de la détonation parviendra-t-il jusqu'aux oneilles du dernier des deux Steeve ?

Introduction à la ligne de commande Linux

Voici quelques exercices d'échauffement pour ceux qui commencent à utiliser la ligne de commande Linux. Attention, ça peut devenir addictif ! Si vous démarrez dans Linux ou si vous n'avez simplement jamais...

le 12/02/2020, par Sandra Henry-Stocker, Network World (adaptation Jean Elyan), 724 mots

Un livre indispensable pour tout comprendre sur la virtualisation des...

La recomposition du secteur des télécoms et des réseaux n'est pas un vain mot, chacun connaît l'aspect opérateur avec la vente très médiatisée de SFR, mais côté réseaux tous les acteurs changent également....

le 05/05/2014, par Didier Barathon, 433 mots

Les plus de 50 ans tiennent les rênes des sociétés IT et télécoms en...

La question des successions est souvent agitée dans les télécoms en particulier chez les installateurs et intégrateurs. En fait, le monde de l'IT dans son ensemble est touché comme le prouve l'étude du cabinet...

le 18/09/2013, par Fabrice Alessi, 373 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...