Apple à récemment publié une mise à jour 12.1.4 en urgence sur iOS suite à la découverte d’un bug majeur lié à l’application Facetime. Cette faille critique, découverte par l’adolescent de 14 ans Grant Thompson, permettait d’entendre et d’écouter le destinataire d’un appel facetime avant même qu’il ait décroché et plus grave encore, de se joindre à un groupe de discussion et forcer les destinataires à décrocher.
La faille Facetime découverte au hasard
Alors des professionnels en sécurité informatique ont pour habitude de scruter et tester tous les risques de failles sur les appareils et systèmes d’exploitation d’Apple, le bug facetime fut découvert tout à fait par hasard par le jeune Grant Thompson.
Ce dernier, en voulant inviter un de ses amis à joindre partie sur Fortnite a lancé un appel sur facetime. Toujours en attente, il à alors invité une tierce personne à se joindre à l’appel, déclenchant automatiquement le micro du premier destinataire. Stupéfait, Grant tente alors de renouveler l’opération est s’aperçoit qu’il suffit de s’ajouter soi même à un appel pour allumer le micro des autre interlocuteurs sans qu’ils le sachent.
Voici la démonstration du bug question :
https://twitter.com/EmiliaDonatella/status/1090126105380601856
Une récompense de quel montant ?
Apple à pour habitude de récompenser toutes personnes découvrant des failles de sécurité sur ses appareils et systèmes d’exploitation via son programme « Bug Bounty Reward » lancé il y a plus de 3 ans. Le heureux bénéficiaires de la prime peuvent alors recevoir jusqu’à 200 000$ US pour la découverte et le signalement d’une vulnérabilité. Malgré sa générosité, la marque à la pomme peine à convaincre les chercheurs qui préfèrent parfois exploiter les bugs ou revendre les astuces à prix d’or.
Pour le moment, la marque à la pomme n’a pas communiqué le montant précis du chèque qui sera attribué au jeune Grant Thompson pour la découverte du bug Facetime, mais l’on sait d’ores et déjà que l’adolescent se verra financer entièrement ses études supérieures en plus d’une rémunération en numéraire.
Un autre bug Facetime corrigé avec la MAJ iOS 12.1.4
Suite à ce bug ayant suscité un veritable tollé sur le web, Apple à réalisé un audit complet des failles de sécurité liées à son application Facetime qui à révélé un autre bug mineur immédiatement corrigé par la mise à jour iOS 12.1.4. Selon des propos d’un porte parole d’Apple rapporté par le magazine the verge :
En plus de traiter le bug signalé, notre équipe a mené un audit de sécurité complet du service FaceTime et apporté des mises à jour supplémentaires à la fois à l’application et au serveur FaceTime afin d’améliorer la sécurité. Cela inclut une vulnérabilité non identifiée auparavant dans la fonctionnalité Live Photos de FaceTime. Pour protéger les clients qui n’ont pas encore mis à niveau le logiciel le plus récent, nous avons mis à jour nos serveurs afin de bloquer la fonctionnalité Live Photos de FaceTime pour les anciennes versions d’iOS et de macOS.
