Un employé d'Apple a trouvé une faille zero-day dans Chrome sans prévenir Google directement
Nous en avons déjà parlé, certaines grandes sociétés disposent d'équipes dont le seul travail est de chercher des failles, pour prévenir ensuite les sociétés concernées. Le but est évidemment de ne pas dévoiler les failles publiquement, pour qu'elles soient corrigées rapidement sans avoir été utilisées.
Et c'est une drôle d'histoire que nous raconte TechCrunch : un employé d'Apple a découvert une faille zero-day1 dans Chromium (la partie open source de Chrome) lors d'une compétition de hacking en mars dernier, sans la remonter à Google. Elle a été corrigée fin mars parce qu'une personne ayant participé à la compétition en question a prévenu les équipes de Google.
C'est la personne qui a averti Google (et qui n'a donc pas découvert la faille) qui a touché la récompense de 10 000 $ pour la « découverte » de la faille. Toujours selon TechCrunch (qui a pu discuter avec l'employé d'Apple), le déroulement est un peu compliqué. La faille a bien été présentée en mars lors d'une compétition, mais il lui a fallu deux semaines pour l'exploiter et comprendre son fonctionnement. Ensuite, elle a bien été indiquée à Google, mais le 5 juin, plusieurs semaines après la fin de la compétition. Selon lui, il a fallu un peu de temps pour trouver la bonne personne à contacter, et il considère que la faille n'était pas urgente. En effet, elle ne fonctionne pas sous Android et elle est visible avec les autres versions de Chrome car elle fige l'interface pour plusieurs secondes.
Dans tous les cas, rappelons que Google dispose d'une équipe spécialisée dans la recherche de failles, le Project Zero, et que vous verrez parfois dans les notes de sécurité des systèmes d'Apple que certaines failles ont été découvertes par cette équipe.
-
zero-day indique qu'elle est exploitable sans délai. ↩︎
Je n’ai rien compris je crois 😅 pourquoi c’est important ?
@fredseg
Imagine que tu découvres un grave problème de freinage sur un certain modèle de voiture pouvant potentiellement entraîner de graves accidents et que tu décides de ne pas en informer le constructeur. Et bien c'est pareil 😅
@powergeek
Mort d’Hommes = piratage possible?
Pour moi c’est juste une anecdote rien de plus
De prime abord on peux se dire, le mec qui bosse chez Apple balance pas une faille trouvé dans un produit conçurent (sachant que l’inverse est vrai) et ensuite tu lis le com de l’employé et c’est juste qu’il a voulut pousser l’investigation.
Bref.
@pelipa91
Oui si tu pirates un hôpital par exemple ou le système de contrôle des pacemaker.
@powergeek
Les hacher évitent de tuer pour éviter d’être trop dérangés.
Il verrouillent plutôt les machines.
Enfin j’ai pas d’histoire à l’esprit à ce propos (mais je me trompe p-e).
@pelipa91
C'est vrai mais bloquer une salle d'opération peut avoir des conséquences dramatiques. C'est un effet de bord. Mon exemple servait juste à illustrer ce que l'autre personne ne comprenait pas 😉
@powergeek
Je suis bien d’accord. Mais je n’ai pas à ma connaissance de cas connus.
Mais en effet, je n’aimerai pas être la personne en salle d’opération au moment où ça arriverai
@pelipa91:
" (sachant que l’inverse est vrai)"
L'inverse n'est justement pas vrai... Google est une des boîtes qui fournit le plus de failles à ses concurrents, et à Apple en premier (qui a bien du mal dans ce domaine)
@debione
C’est bien ce que j’ai écris en effet
@pelipa91
"De prime abord on peux se dire, le mec qui bosse chez Apple balance pas une faille trouvé dans un produit conçurent"
Chrome et Safari ne sont pas en concurrence.
@fte
Ah bon? D’accord, si vous le dites.
Je savais pas que Google et Apple n’était pas concurrents.
Airbus n’est pas concurrent à Boeing ou Comac dans ce cas.
C’est le monde des humains après tout. On est tous issus de la même origine 😝
@pelipa91
"Ah bon? D’accord, si vous le dites.
Je savais pas que Google et Apple n’était pas concurrents."
Je n’ai pas parlé d’Apple et Google, on pourrait…, mais de Safari et Chrome. Et non, Safari et Chrome ne sont pas concurrents. 5 minutes sur macOS et encore, ça se discute, mais nulle part ailleurs.
@fte
Ah donc Dacia n’est pas un conçurent de Maybach.
Ok je comprends votre point de vue.
Je le partage pour Safari que j’ai fini par abandonner.
Mais d’un point de vue Apple, avec Safari, tous les autres navigateurs web sont des concurrents.
Juste en effet que Google avec son Chrome ne voie pas dans son rétro le petit Safari.
@fte
“Et non, Safari et Chrome ne sont pas concurrents. 5 minutes sur macOS et encore, ça se discute, mais nulle part ailleurs.”
Le fait qu’ils ne soient en pratique pas disponibles sur les mêmes plateformes (les plateformes majeures étant les plateformes mobiles) ne veut pas dire qu’ils ne sont pas concurrents.
@hptroll
"Le fait qu’ils ne soient en pratique pas disponibles sur les mêmes plateformes ne veut pas dire qu’ils ne sont pas concurrents."
Concept extrêmement intéressant. 🤯
Si il avait réussi à la déclarer avant c’est lui qui gagnait le bounty ou Apple vu que c’est dans le cadre de son travail ?
@Sanid35
"Si il avait réussi à la déclarer avant c’est lui qui gagnait le bounty ou Apple vu que c’est dans le cadre de son travail ?"
La pratique usuelle est que le chercheur touche la prime. Mais ceci est vrai lorsqu’il y a un semblant de culture sécurité dans l’entreprise…
Parlant d’Apple, je ne serais pas surpris que la prime soit captée par Apple.
Après, soyons absolument clair, je n’en sais rien. Je n’en pense rien. J’aimerais savoir la réponse à la question.
Apple et les failles...
Ils pourraient en faire une série sur l'AppleTv pour au moins 10 saisons....
@debione
Debione et ses marottes...
https://www.phonandroid.com/windows-android-linux-macos-top-10-des-systemes-les-plus-vulnerables.html/amp
@DahuLArthropode | :
Extension et généralisation du propos (à quelque chose absent de la conversation).
Stratagème numéro 1 dans "L'art d'avoir toujours raison" de Shoppenhauer.
On parle d'Apple et des failles, et on ramène sa science avec des propos sur d'autres entreprises....
Donc soit tu as quelque chose à dire sur le sujet précis, soit tu n'as rien à dire et ... Ben répond pas la prochaine fois si c'est pour être pareillement hors sujet.
Mais pour le coup, vous devriez parler des failles parfaitement connues qu'Apple met par moment plusieurs année à boucher... Au prix ou on paye....
@debione
Vous suggérez qu’Apple serait particulièrement vulnérable, je vous envoie un comparatif où il figure à coté d’autres OS. Ça ne me semble pas hors sujet.
Nous pourrons donc faire une série Apple TV sur les failles en général. Peut-être est-ce Schopenhauer qui est hors sujet.
@DahuLArthropode
"Peut-être est-ce Schopenhauer qui est hors sujet."
Sur les forums internet il est beaucoup plus souvent pile dans le sujet que hors sujet, notre bon Schopenhauer. De toute manière il a toujours raison.
@debione
La faille était sur Chrome.
Un employé d'Apple a trouvé une faille zero-day dans Chrome sans prévenir Google directement
Encore un titre trompeur comme on peut le comprendre après avoir lu l'article :
« La faille a bien été présentée en mars lors d'une compétition, mais il lui a fallu deux semaines pour l'exploiter et comprendre son fonctionnement »
Donc il y a un petit malin qui en a profité pour encaisser la prime de Google à la place du véritable découvreur.
Mais c'est l'employé d'Apple qu'on blâme. Normal.
@marc_os:
Non, le blâme c'est pour découvrir des failles et ne pas les signaler VOLONTAIREMENT...
Regarde le boulot que fait Google en matière de sécurité, et comment ils gèrent ces faillent qu'ils trouvent sur du matériels concurrent....
@ debione
> Non, le blâme c'est pour découvrir des failles et ne pas les signaler VOLONTAIREMENT.
Elle veut dire quoi alors cette phrase de l'article ?
« selon TechCrunch (qui a pu discuter avec l'employé d'Apple), le déroulement est un peu compliqué. La faille a bien été présentée en mars lors d'une compétition »
@marc_os:
Il y a une différence entre présenter une faille dans une compétition, et décrire le process précisément le plus vite possible à l'entreprise concernée....
Bref, agir exactement comme Google agit quand ils découvrent des failles chez Apple.
Un exemple de plus du niveau abysmal de la culture sécurité chez Apple. 🤷
@fte
?
L’événement au cours duquel la faille a été découverte (HXP CTF 2022) ne me semble pas organisé par Apple et l’employé y participait à titre privé, non? Apple n’a dans ce cas rien à voir dedans.
@DahuLArthropode:
Oh que si...
Un réflexe qu'il ne possède pas en bossant chez Apple....
@DahuLArthropode
"Apple n’a dans ce cas rien à voir dedans."
Tu voudrais me faire croire que l’environnement dans lequel untel travaille au moins 40 heures par semaine n’influence pas les bonnes pratiques professionnelles d’untel hors dudit environnement professionnel ?! Naaa, je ne pense pas que tu veuilles me faire croire ces balivernes.
@fte
Je n’en sais rien. Juste: ça ne semble pas une décision d’Apple de ne pas informer Google.
@DahuLArthropode
Ca ressemble au contraire absolument à Apple de ne pas adopter les bonnes pratiques de cette industrie.
@fte
N’importe quoi
@⚜Dan
"N’importe quoi"
C’est juste, et c’est regrettable.
Les bonnes pratiques sont des bonnes pratiques non pas parce qu’elles sont les meilleures pratiques, mais parce qu’elles permettent de mieux collaborer et de mieux résoudre les incidents. Donc oui, qu’Apple soit aussi cul serré sur tout ce qui implique une collaboration est vraiment n’importe quoi. Une grosse bande de clowns. Ce n’est ni bon pour la sécurité des solutions Apple, ni pour la sécurité des systèmes informatiques en général, ni pour l’intéressante et fructueuse collaboration qui existe dans ce petit monde des chercheurs en sécurité.
Zero-day ne signifie pas vulnérabilité utilisable sans délai mais qu’il n’existe pas de patch pour la corriger
@nidecker:
Ah ok, j'avais toujours pensé "faille non documentée"...
Quel titre Putaclic 😡 !
Ca permets aux petits coqs de se tirer la bourre 🙄
@codeX
🤭! Y’a de ça en effet 😉!
Mais moi quand je le dis je me fais insulter lol ^^, alors je vais arrêter 😉
" Un employé d'Apple a trouvé une faille zero-day dans Chrome sans prévenir Google directement "
" Ensuite, elle a bien été indiquée à Google , mais le 5 juin, plusieurs semaines après la fin de la compétition. Selon lui, il a fallu un peu de temps pour trouver la bonne personne à contacter "
Visiblement, ca ne vous est jamais arrivé de dénoncer/ indiquer un problème à quelqu'un ou à une société et de ne pas avoir de réponse...
Pierre qui tape encore sur Apple... #Classic