Un groupe de pirates a découvert sept vulnérabilités affectant les appareils Apple et a obtenu 75 dollars.
Selon Forbes, Apple a versé 75 000 dollars à un pirate informatique en guise de récompense pour avoir découvert sept graves failles de sécurité, dont trois permettent un contrôle total de la caméra sur les appareils mobiles et les ordinateurs d'Apple.
Les iPhones, iPads et Macs sont piratables, et quelqu'un qui connaît ces failles pourrait théoriquement nous espionner en activant la caméra. Les vulnérabilités ont été découvertes par Ryan Pickren, fondateur de la plateforme de piratage éthique BugPoC, qui les a signalées à Apple dans le cadre du programme de primes de la société. Les 75 000 dollars sont une récompense pour avoir suivi les règles du programme et ne pas avoir divulgué d'informations sur ces bugs avant qu'Apple ne parvienne à trouver une solution. Le chiffre est très élevé, comparé à la récompense moyenne pour ce type de programme, signe que les vulnérabilités découvertes étaient nombreuses et très dangereuses.
Les vulnérabilités découvertes
Les bogues sérieux découverts par Pickren sont au nombre de sept, comme mentionné, mais les plus dangereux sont les trois qui, s'ils sont exploités correctement, permettent d'accéder à l'appareil photo, à la caméra vidéo et même au microphone des appareils Apple. Il s'agissait de vulnérabilités de type "zero-day", c'est-à-dire des vulnérabilités qui avaient échappé à l'attention des développeurs lors de la rédaction du code et qui n'ont été découvertes que plus tard, toutes affectant le navigateur Safari. Pour accéder à la caméra, il fallait utiliser les trois vulnérabilités, ce qui n'est pas facile mais possible. Une fois " à l'intérieur " de la caméra, il était possible de contrôler son fonctionnement sans que l'utilisateur ne se rende compte de rien.
Apple l'a déjà corrigée
Comme c'est toujours le cas avec les vulnérabilités zero-day communiquées aux éditeurs de logiciels via des programmes de primes, la nouvelle est tombée alors qu'Apple avait déjà colmaté les failles. Les trois vulnérabilités liées à l'appareil photo ont été corrigées dans la mise à jour de Safari à la version 13.0.5, publiée le 28 janvier. Les autres vulnérabilités de type "zero-day", jugées moins graves, ont été corrigées dans la version Safari 13.1 du 24 mars. Tout appareil Apple équipé de Safari mis à jour à la version 13.1 est donc totalement sûr. Mais si vous disposez d'un appareil Apple équipé d'une ancienne version de Safari, il est préférable d'agir maintenant en effectuant une mise à niveau.