Un bug de l’iCloud d’Apple permettait de dérober des photos

Un groupe de hackers éthiques s’est intéressé à l’infrastructure et aux systèmes d’Apple et, en trois mois, les chercheurs ont découvert 55 vulnérabilités, dont un certain nombre auraient donné aux attaquants un contrôle total sur les applications des clients et des employés.

Il est à noter qu’une faille critique de prise de contrôle de compte iCloud peut permettre aux attaquants de voler automatiquement tous les documents, photos, vidéos et plus encore d’une victime.

Cette découverte faite par les pirates informatiques Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb et Tanner Barnes a démontré les principales faiblesses de l’infrastructure «massive» de l’entreprise tout en rapportant à l’équipe près de 300 000 $ à ce jour en récompenses pour leurs efforts, a écrit Curry dans un article de blog détaillant les conclusions de l’équipe.

iCloud apple

Parmi les failles découvertes dans les principales parties de l’infrastructure d’Apple, on peut citer celles qui auraient permis à un attaquant de: «compromettre complètement les applications des clients et des employés; lancer un ver capable de prendre automatiquement le contrôle du compte iCloud d’une victime; récupérer le code source des projets Apple internes; compromettre totalement un logiciel d’entrepôt de contrôle industriel utilisé par Apple; et reprendre les sessions des employés d’Apple avec la capacité d’accéder aux outils de gestion et aux ressources sensibles », écrit-il.

Sur les 55 vulnérabilités découvertes, 11 ont été évaluées avec une gravité critique, 29 avec une gravité élevée, 13 avec une gravité moyenne et deux avec une gravité faible. Les chercheurs ont évalué les failles en fonction de la cote de gravité de vulnérabilité CvSS et de «notre compréhension de l’impact lié à l’entreprise», a déclaré Curry.

La vulnérabilité d’iCloud est un problème de script intersite (XSS). iCloud est un mécanisme de stockage automatique pour les photos, vidéos, documents et données liées aux applications pour les produits Apple. De plus, cette plate-forme fournit des services tels que Mail et Find my iPhone.

«Le service de messagerie est une plate-forme de messagerie complète sur laquelle les utilisateurs peuvent envoyer et recevoir des e-mails similaires à Gmail et Yahoo», a expliqué Curry. «De plus, il existe une application de messagerie sur iOS et Mac qui est installée par défaut sur les produits. Le service de messagerie est hébergé sur www.icloud.com aux côtés de tous les autres services tels que le stockage de fichiers et de documents. »

Il a ajouté: «Cela signifiait, du point de vue des attaquants, que toute vulnérabilité de script intersite permettrait à un attaquant de récupérer les informations qu’il voulait du service iCloud.»

Il a découvert une tel faille après avoir tourné en rond pendant un certain temps: «Lorsque vous aviez deux balises de style dans l’e-mail, le contenu des balises de style était concaténé en une seule balise de style», a-t-il déclaré. « Cela signifiait que si nous pouvions insérer  »  » dans la deuxième balise, il serait possible de tromper l’application en lui faisant croire que notre balise était encore ouverte alors qu’elle ne l’était vraiment pas. »

apple

L’équipe de chercheurs a finalement été en mesure de créer une preuve de concept qui a démontré un code qui vole toutes les informations personnelles de l’iCloud de la victime (photos, informations de calendrier et documents) puis transmet le même exploit à tous ses contacts.

Ilia Kolochenko, fondatrice et PDG de la société de sécurité Web ImmuniWeb, a déclaré que le succès des chasseurs de primes devrait être un signal d’alarme.

«Malheureusement, il n’y a aucune garantie que ces vulnérabilités n’ont pas été exploitées par des pirates sophistiquées pour compromettre silencieusement les victimes VIP», a-t-elle déclaré. «Pire encore, il existe probablement des vulnérabilités plus similaires qui n’ont pas été découvertes et peuvent être connues des groupes de pirates informatiques qui gagnent beaucoup d’argent grâce à leur exploitation. Les applications Web modernes ouvrent la porte aux informations critiques des réseaux d’entreprise et leur violation peut être fatale pour une entreprise. »

Réponse d’Apple et 300 000$

Pour sa part, Apple a réagi rapidement aux rapports de failles, en corrigeant la majorité d’entre eux au moment de la mise en ligne de la publication.

« Dans l’ensemble, Apple a été très réactif à nos rapports », a déclaré Curry, ajoutant que « depuis le 8 octobre, nous avons reçu 32 paiements pour un total de 288 500 $ pour diverses vulnérabilités. » Ce nombre pourrait augmenter car Apple a tendance à payer par « lots », donc les pirates anticipent plus de paiements dans les mois à venir, a-t-il déclaré.

Le programme public de bug-bounty d’Apple – auquel toutes les parties intéressées peuvent participer – est assez récent. La société a ouvert un programme historiquement privé au public en Décembre dernier après des années de critiques de la part des développeurs, qui ont fait valoir que la société devait être plus transparente sur les failles de son matériel et de ses logiciels.

En effet, Curry – qui se qualifie lui-même de chasseur de bugs à plein temps – s’est dit inspiré de rassembler l’équipe de hackers pour scruter sous le capot de l’infrastructure d’Apple après avoir appris sur Twitter la récompense de 100 000$ pour un chercheur d’Apple qui avait découvert un contournement d’authentification qui permettait un accès arbitraire à tout compte client d’Apple.

«Cela m’a surpris, car j’avais déjà compris que le programme de bug bounty d’Apple ne concernait que les vulnérabilités de sécurité affectant leurs produits physiques et ne payait pas pour les problèmes affectant leurs actifs Web», a-t-il écrit.

Une fois qu’il a découvert qu’Apple était prêt à payer pour les vulnérabilités «ayant un impact significatif sur les utilisateurs», que l’actif soit ou non explicitement répertorié dans le programme, la partie a commencé, a-t-il déclaré.

« Cela a attiré mon attention comme une opportunité intéressante d’étudier un nouveau programme qui semblait avoir une large portée et des fonctionnalités amusantes », a écrit Curry dans l’article. Il a décidé d’inviter des hackers avec lesquels il avait travaillé dans le passé, même si ils savaient tous qu’il n’y avait aucune garantie de paiement pour leurs découvertes.

Les vulnérabilités critiques que l’équipe a découvertes dans son travail sont les suivantes:

Les pirates ont reçu l’autorisation de l’équipe de sécurité d’Apple de publier des détails sur les failles critiques qui ont tous été corrigés et retestés, a déclaré Curry.

Les résultats rappellent de manière alarmante que même les plus grandes entreprises technologiques sous-estiment considérablement la sécurité de leurs applications Web, selon Kolochenko.

«La plupart des organisations investissent simplement dans des outils d’analyse automatisés et des tests de pénétration récurrents, mais sans mettre en œuvre un programme complet de sécurité des applications», a-t-il déclaré. «Un tel programme comprendra des formations régulières sur le codage sécurisé pour les développeurs de logiciels, introduisant des contrôles de sécurité visant à détecter les vulnérabilités au stade précoce du développement – l’approche dite de« décalage à gauche »- et fournissant des directives de sécurité strictes pour les logiciels développés par des partis tiers. Enfin, les logiciels modernes doivent intégrer la protection de la vie privée dès la conception pour permettre une conformité transparente aux réglementations telles que CCPA ou RGDP.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x