Discussion :

[Arsene Newman]

Apple est-elle à la pointe de la sécurité informatique ?
Une réputation doublée d’un mythe ?

Voilà plusieurs mois que iOS 7 a été lancé, mais seulement quelques jours que la marque à la pomme annonce la découverte d’une faille de sécurité importante, qui laisse le champ libre à des attaques de type MITM (Man in the Middle) [lire l’article de la rédaction sur le sujet]. L’annonce a été doublée du lancement d’une nouvelle mise à jour fixant l’OS.

Face à cette faille effrayante, plusieurs experts tirent la sonnette d’alarme pour expliquer tout bonnement que la réputation d’Apple en matière de sécurité informatique est largement surévaluée, pire encore pour la voix populaire, Apple rime forcément avec sécurité informatique, hors ceci est un mythe. Comme n’importe quel éditeur logiciel, Apple doit faire face à diverses failles.

Autres faits reprochés à Apple par les spécialistes, la lenteur de réaction de la société pour la correction des bugs et des failles, ce qui pourrait nuire grandement à la firme et à sa réputation car, ces produits sont appréciés par une clientèle qui est généralement la cible des hackers, ainsi que le culte du secret et le manque de communication de l'entreprise autour des questions relatives à la sécurité informatique, qui sont autant de facteurs qui ne tendent pas à favoriser le développement d’une communauté de testeurs.

Au final, la conjugaison de tous ces facteurs donne la place à une comparaison avec Microsoft pour certains, à l’image de B. Bourne et J.Ullrich qui sont respectivement co-fondateur des conférences annuelles SecTor et doyen de recherche au ISC (Internet Storm Center). Ces derniers estiment qu’Apple est au même stade que Microsoft il y a 10-15 ans, période précédant la prise de conscience du géant de Redmond de l’importance de la communication autour des bugs/failles et de leur correction, ce qui l’avait mené à publier des mises à jour mensuelles dénommées « Patch Tuesdays ».

Source : CBC News

Et vous ?

Qu’en pensez-vous ?

[free07]

C'est clair qu'Apple est victime de son succès et on remarquera au passage que les failles de sécurité touche l'iOS et non pas l'OS X car les postes sous mac OS X ne sont pas assez nombreux pour intéresser les hackers, cela ne veut pas dire que la sécurité était mieux géré par Apple, c'est simplement qu'ils sont moins victimes d'attaques que d'autres systèmes, on le savait déjà avec l'arrivée des virus qui étaient surtout ciblés sur Windows.

Maintenant ce n'est plus vrai, avec leur succès dans le monde des mobiles, Apple va devoir s’intéresser de plus en plus à la sécurité et combler les failles le plus rapidement possible.

[transgohan]

L'erreur qui fait la presse est la suivante :

Code C :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
Type err;
 
// code
 
if( condition )
  goto erreur;
  goto erreur;
 
// d'autres tests
 
// ...
erreur:
  return err;
}

Bref err n'est pas initialisé et on renvoie systématiquement n'importe quoi.

La pointe de la sécurité informatique ? N'importe quel logiciel d'analyse statique du code afficherai un joli bandeau bien flashi pour ce genre d'erreur...
Et quid des tests unitaires ? Visiblement ils n'en ont aucun sur cette fonction...
Ils font quoi chez Apple pour contrôler la qualité de leur code ? Uniquement des relectures de code ?
Si ça se trouve rien du tout...
Toujours est-il qu'ils sont à la masse sur la qualité...
Un logiciel tel que klocwork devrait retourner une masse critique de problèmes dans leur code. Ou alors ce sont des super dév et ils n'avaient laissé passer que cette coquille.

[Saverok]

Il est clair que le mythe d'Apple a la peau dure !!
C'est dingue toutes les bêtises que j'ai pu entendre au sujet d'Apple par ses fans (surtout les non techniques).
Le marketing d'Apple est diablement efficace.

Apple est très timide sur la com' et la correction de ses bugs.
Par contre, je ne sais pas ce qui fait dire à ces messieurs que cela va changer.
Ce n'est pas dans l'esprit de la boîte qui se veut "cool" et "haut de gamme" et reconnaître les bugs terni cette image (il n'y a qu'à voir les ratages de communication d'Apple lors de la sortie de map et qui niait à demi mot même quand les bugs étaient présentés sous leurs yeux)

[Arsene Newman]

Apple est très timide sur la com' et la correction de ses bugs.
Par contre, je ne sais pas ce qui fait dire à ces messieurs que cela va changer.
Ce n'est pas dans l'esprit de la boîte qui se veut "cool" et "haut de gamme" et reconnaître les bugs terni cette image (il n'y a qu'à voir les ratages de communication d'Apple lors de la sortie de map et qui niait à demi mot même quand les bugs étaient présentés sous leurs yeux)

Ces messieurs ne savent pas si ça va changer ou pas, il parle plutôt du retard qu'à Apple et il la compare à Microsoft quand devait faire face à de multiples bugs et failles

[tbarry]

A entendre la presse commenter cette histoire on dirait que c'est une révélation inédite.
Mais qui a déjà dit que Apple était secure à tel point qu'un bug trouvé dans leur système puisse provoquer un réveil de conscience.
Et d'ailleurs le bug en question en dit beaucoup sur leur maturité en matière de sécurité: une variable non initialisée, même avec une bonne compilation avec gcc (-Wall) on aurait pu s'en apercevoir.

[Saverok]

Et d'ailleurs le bug en question en dit beaucoup sur leur maturité en matière de sécurité: une variable non initialisée, même avec une bonne compilation avec gcc (-Wall) on aurait pu s'en apercevoir.

C'est du péché d'orgueil.
Apple se sent tellement puissant et intouchable qu'il en finit par être négligeant.

Jobs était totalement maniaque et n'aurait jamais supporté un pli qui dépasse.
Avec une bourde pareille, de nombreuses têtes auraient sautés en son temps.
J'ai un peu l'impression que le relâchement va bon train depuis qu'il est parti.

[kaabitch]

[demonia]

Jobs était totalement maniaque et n'aurait jamais supporté un pli qui dépasse.
Avec une bourde pareille, de nombreuses têtes auraient sautés en son temps.
J'ai un peu l'impression que le relâchement va bon train depuis qu'il est parti.

Je dirais surtout que jobs est "parti" au bon moment.
Déjà avant sa mort, les problèmes commençaient à montrer le bout de leur nez mais étaient encore gérables.
Je sais que tout le monde l'idolâtre et utilisent sa mort comme excuse pour dire qu'Apple c'était mieux avant, etc.
Mais il ne faut pas oublier que maintenir un mini-système avec peu de fonctionnalités et quand il est encore jeune, ce n'est pas forcément très compliqué surtout avec une telle fermeture à tous les niveaux.
On a bien vu que chaque mise à jour qui ajoutait de fonctionnalités ont rendu les systèmes plus capricieux et buggés.

IOS 6 et 7 sont bonnes démonstrations de tout ça.
Ils ont voulu rattraper la concurrence et ajouter plein de fonctionnalités et on voit le résultat.

Je suis utilisateur d'IPhone depuis le 3G et j'ai vu petit à petit le système se détériorer avec les mises à jours.
Je n'ai jamais eu autant de ralentissements, apps qui plantent, reboot/blue screen que depuis IOS6 et 7.

La sécurité n'a jamais été le point fort d'Apple.
Ils se sont simplement reposé sur le fait que leur système soit unix based (qui lui est très solide mais pas non plus inattaquable).
La plupart de leurs ajouts sont de mauvaise qualité (niveau sécurité) et rajoute une bonne couche de failles la ou il n'y en avait pas sur le système de base.

C'est une boite qui est jeune dans le succès finalement et ils surfent sur la vague pour le moment mais la réalité est en train de les rattraper rapidement.
Jobs ou pas Jobs n'aurait pas changé grand chose.
Plus un système devient complexe, plus il contient de failles.
Plus un système est populaire, plus il est intéressant pour les hackers donc plus il est attaqué.
Plus un système est populaire, plus les utilisateurs veulent faire de choses avec et plus le système doit évoluer avec la concurrence (ou la rattraper) pour rester dans la course.

Apple prend conscience gentiment que tout ce qu'ils ont reproché à M$ va leur arriver sous peu, mais ne le reconnait évidemment pas publiquement.