Vidéo: Maître Gims - Est-ce que tu m'aimes ? (Clip officiel) (Novembre 2024)
Apple a récemment corrigé l'un des pires problèmes de sécurité jamais découverts dans iOS, permettant à un appelant FaceTime d'entendre ce que les gens disaient avant de répondre à l'appel. Alors, qu'est-ce qui a mal tourné et pouvons-nous prévenir un autre désastre similaire?
Apple ne rend pas le code source de ses systèmes d'exploitation et de ses applications accessible au public. Seuls les ingénieurs, les développeurs et le personnel d’assurance qualité de la société testent et corrigent les erreurs dans ses applications. Et Apple demande à ses employés de signer des accords de confidentialité très stricts concernant ses produits. Cette approche des jardins murés signifie que nous devons faire confiance à Apple pour fournir des produits sécurisés.
Cela dit, Apple dispose de l'un des processus de développement logiciel les plus robustes du marché. Sa réputation repose sur plus de quatre décennies de fourniture d'applications et de produits sécurisés et fiables. Mais de temps en temps, les défaillances de la sécurité liées à l'obscurité, qui dépendent du secret pour assurer la sécurité, sont évidentes. Le bogue FaceTime était un exemple.
Comparé aux bogues de sécurité compliqués nécessitant des ressources et une expertise à découvrir et à exploiter, le bogue FaceTime était trivial. En fait, il a été découvert par un adolescent de 14 ans qui jouait au Fortnite avec ses amis.
Mais cela soulève une question: comment une entreprise possédant l’intégrité d’Apple peut-elle manquer une faille aussi évidente dans l’une de ses applications les plus utilisées? At-il été intentionnellement causé par un employé mécontent qui voulait se venger? Était-ce une porte dérobée implantée par le gouvernement? S'agissait-il d'une erreur honnête, un sur un million, qui aurait pu échapper aux défenses de la société la plus digne de confiance?
Il est difficile de répondre à cette question indépendamment. Nous devons nous fier aux informations fournies par Apple. Et jusqu'à présent, Apple n'a pas dit grand chose sauf qu'il a corrigé la faille dans iOS 12.1.4 et récompensera l'adolescent de l'Arizona qui a signalé le premier problème.
Nous ne saurons probablement jamais non plus quand l'exploit a commencé. Selon les rapports, le bogue s'appliquait à tous les appareils exécutant iOS 12.1 ou une version ultérieure. Publié le 30 octobre 2018, iOS 12.1 a ajouté Group FaceTime, la fonctionnalité qui contenait le bogue d'espionnage. Mais il est difficile d’imaginer qu’un problème persistant sur des centaines de millions d’appareils n’aurait pas été découvert pendant plusieurs mois. Le bogue a peut-être été introduit plus récemment, alors que l'équipe de développement Apple avait mis à jour le logiciel côté serveur de FaceTime. Encore une fois, nous ne le saurons que si Apple nous le dit.
En revanche, de nombreuses organisations ont une politique de source ouverte, publiant le code source complet de leurs applications sur des plates-formes telles que GitHub et le rendant accessible à tous. Les experts indépendants et les développeurs peuvent alors vérifier la sécurité de l'application.
La pratique est devenue de plus en plus populaire au cours des dernières années et a même attiré des participants historiquement très discrets.
- iOS 12.1 corrige le problème iPhone Smooth Skin Selfie iOS 12.1 corrige le problème iPhone Smooth Skin Selfie
- Prêt pour le chat vidéo? Comment regrouper FaceTime Ready to Video Chat? Comment grouper FaceTime
- La dernière mise à jour iOS d'Apple corrige un bogue effrayant FaceTime La dernière mise à jour iOS d'Apple corrige un bogue effrayant FaceTime
L'application de messagerie sécurisée Signal est un excellent exemple de transparence. Open Whisper Systems, la société qui développe Signal, a publié le code source de toutes les versions de son application sur GitHub. L'ensemble de l'historique du code source de l'application, de ses contributeurs et des modifications apportées à l'application est visible par tous. Le code source de Signal a été examiné par des centaines d’experts et a été approuvé par des chefs de file du secteur tels que Bruce Schneier, Edward Snowden et Matt Green.
Cela signifie-t-il que les applications open source n'ont pas de faille de sécurité? Loin de là. Les applications comportant des centaines de milliers de lignes de code sont des créations complexes et difficiles à sécuriser, quel que soit le nombre d'yeux qui consultent le code.
En fait, Signal a créé quelques vilains bugs, dont un qui permettrait aux pirates de voler vos discussions en texte brut. Mais contrairement aux applications à sources fermées telles que FaceTime, toute personne peut facilement suivre la source et les raisons des failles dans des applications telles que Signal, ainsi que leur origine et le changement de code ou la nouvelle fonctionnalité qui les a provoquées. Mais dans le cas du bogue FaceTime, nous devrons spéculer.
La transparence établit la confiance. L'obscurité le détruit.
