Faille de FaceTime : Apple était au courant depuis (au moins) une semaine

 

La faille de sécurité de FaceTime qui vient d’être publiquement révélée avait été remontée à Apple une semaine plus tôt. Le service sécurité de la firme semble néanmoins avoir ignoré les mises en garde.

Un bug de FaceTime vient d’être rendu public. Celui-ci permet de se servir de l’application pour écouter les conversations de son correspondant, même si celui-ci ne décroche pas l’appel. Il s’agit là d’une faille de sécurité relativement importante, bien que cela nécessite tout de même que la victime ne remarque pas que son téléphone sonne — ce qui peut arriver pour ceux qui ont l’habitude de mettre leur smartphone en silencieux.

Apple a rapidement réagi en désactivant la possibilité de réaliser des appels de groupe avec l’application. Rapidement ? Peut-être pas tant que cela ! En effet, une avocate du nom de Michele Thomson avait signalé cette faille de sécurité à Apple le 22 janvier, soit une semaine plus tôt. Ce signalement a été effectué par le biais d’un mail envoyé à product-security@apple.com, ce qui est la procédure recommandée par la firme elle-même en cas de découverte d’une faille de sécurité.

Restée sans réponse, Mme Thomson a répété ses avertissements, avec notamment un autre mail envoyé le 25 janvier, mais aussi des fax. « J’ai fait de mon mieux pour leur rapporter [cette faille], et ils n’ont pas écouté », a-t-elle indiqué à CNet. Elle a même tweeté directement Tim Cook avant de se raviser et d’effacer le message peu de temps après.

Bien qu’avocate rompue aux démarches administratives longues et parfaitement orchestrée, Michele Thomson a qualifié « d’épuisante et exaspérante » la procédure permettant de signaler une faille de sécurité à Apple.

Lors de cette procédure, Apple a bien répondu aux mails de l’avocate… pour la rediriger alors vers le tracker de bugs en ligne d’Apple. Une procédure qui nécessite de s’inscrire pour obtenir un compte « développeur ».

La faille découverte par un adolescent

Michele Thomson précise que cette faille de sécurité a en réalité été découverte par son fils de 14 ans. Il a rencontré ce bug en tentant de créer une discussion de groupe avec ses amis afin de pouvoir se coordonner en groupe lors d’une partie de Fortnite.

Victor Chebyshev, chercheur en sécurité de Kaspersky, rappelle que « les logiciels d’aujourd’hui comprennent tellement de lignes de code qu’il est presque impossible de garantir à 100 % l’absence de bugs, et les vendeurs de logiciels font confiance aux experts en cybersécurité pour les aider à découvrir, et réparer de tels bugs avant qu’ils ne puissent être exploités par des personnes malveillantes ». Tout le monde n’est malheureusement pas expert, et Apple devrait également écouter ses utilisateurs avec plus d’attention.

Les derniers articles