Apple a laissé les utilisateurs iOS exposés à des failles de sécurité
précédemment colmatées sur Mac OS X, pendant des semaines

Kristin Paget, ancienne ingénieur en sécurité pour le compte d’Apple qui a quitté Cupertino en janvier pour rejoindre les rangs de Tesla Motors, a vivement critiqué la politique de livraison de correctifs pratiquée par son ancien employeur dans un billet publié sur son blog.

La chercheuse a catalogué une douzaine de failles dans la sécurité qui ont reçu un correctif dans la mise à jour iOS 7.1.1. Selon l'avis de sécurité publié par Apple, certaines failles découvertes dans WebKit peuvent permettre à un attaquant d'exécuter du code arbitraire quand les utilisateurs accèdent à des sites web malveillants. Kristin a remarqué que 16 des vulnérabilités corrigées avaient reçu un correctif trois semaines plus tôt dans une mise à jour séparée pour les utilisateurs d’OS X.


« Apple se targue d'utiliser le même kernel (plus un mélange de composants divers) pour ses deux plates-formes [iOS et OS X], mais il ne corrige qu'un système à la fois, exposant les utilisateurs de l'autre plate-forme à des failles de sécurité connues pendant plusieurs semaines. Comment peut-on accepter cela ? », s’est interrogé Kristin Paget. « Il semble qu'Apple ait besoin que quelqu'un lui fasse écrire 100 fois : « Je n'exposerai pas les utilisateurs d'iOS à des failles Zero-Day identifiées dans OSX et réciproquement » », a-t-elle déclaré.

Puis, s’adressant directement aux responsables, elle a demandé « est-ce la façon dont vous faites des affaires? Publier un correctif pour un produit qui répertorie pratiquement littéralement, dans l'ordre, les failles de sécurité de votre plate-forme, puis ne pas parvenir à colmater ces faiblesses sur votre autre gamme de produits des * semaines * après? Vous n’y voyez vraiment aucun mal ? »

La critique de Paget arrive deux mois après qu'Apple ait corrigé la faille extrêmement critique «goto fail» dans iOS sans l’avoir colmatée dans la version Mavericks de Mac OS X. La faille, qui octroyait à « un attaquant avec une position de réseau privilégié » la possibilité de « capturer ou modifier des données dans les sessions protégées par SSL / TLS » n’a finalement été corrigée que le 25 février sur Mavericks.

Autre exemple : la faille WebKit identifiée sous la référence CVE- 2013-2909, a été corrigée par Google dans Chrome le 1er octobre 2013. Chez Apple, le correctif pour les versions 6.1.1 et 7.0.1 de Safari n’est venu que le 16 décembre 2013, soit plus de deux mois après Google. Celui d’iOS 7.1 n’a été publié que le 10 mars, soit cinq mois plus tard.

Source : blog Kristin Paget

Et vous ?

Qu'en pensez-vous ?