Apple, des failles qui gratouillent et des failles qui chatouillent
Une fois de plus, c'est Apple qui a fait les frais du concours de hacking organisé par CanSecWest. Exposé aux coups de boutoir d'une petite armée de pentester tous aussi compétents les uns que les autres, trois stations -l'une sous OS/X , la seconde sous Vista, la troisième sous Linux- ont du lutter de noyau ferme. Et c'est Charlie Miller, déjà réputé pour ses travaux autour de l'iPhone, qui, le premier, a compromis une machine via une faille Safari. Un compte rendu dans les colonnes du Focus, un autre chez Network World datant du début de la compétition et expliquant les stratégies d'attaque des participants, IT World couvre également l'événement et rappelle que, l'an passé, la palme avait été remportée par Dino Dai Zovi de Matasano, grâce à un exploit QuickTime. Mais c'est David Maynor qui signe le papier le plus perfide, en rappelant que la semaine dernière, Apple publiait l'un des correctifs les plus pléthorique de l'histoire de l'entreprise. Une sorte de « précaution pré-CanSecWest », façon d'éviter de faire la manchette des journaux du soir ? Si c'était là l'intention de l'équipe sécurité du constructeur, l'opération a quelque peu cafouillé. Maynor pose la question clairement : les publications de correctifs chez Apple sont-ils purement cosmétiques et marketing ? Le rythme de correction est-il dépendant du légitime soucis de vouloir protéger les utilisateurs et clients, ou subit-il les fluctuations du cours du Zero Day et des réunions de hackers blancs ? Si c'était le cas, ce serait une preuve supplémentaire du bien fondé des politiques de divulgation responsables non contrôlées par les éditeurs. Et voilà que la réponse arrive -encore- d'IT World, qui sort, hasard du calendrier, les résultats d'une étude révélée durant la Black Hat Conference qui se déroule cette semaine à Amsterdam. Une étude conduite par l'Institut Fédéral de Technologie Helvétique, qui mesurait les temps écoulés entre la révélation et l'écriture d'un correctif, la durée moyenne de la « fenêtre de vulnérabilité » et le nombre de vulnérabilités « connues et non encore corrigées ». 658 trous Microsoft, 738 chez Apple, -d'importances comparables assurent les chercheurs- une étude étalée sur 6 ans, et le constat tombe : quelque chose se faisande dans le royaume du Mac depuis 2005. Avec une moyenne de 20 vulnérabilités -ou moins- non corrigées, la situation semblait plutôt bonne. Mais le nombre de failles non colmatées s'est peu à peu accru, dépassant ce seuil symbolique. Comparativement à son rival Microsoft, les failles « ouvertes » devenaient plus nombreuses chez Apple. Il existe, il a toujours existé, un climat de confiance absolue, presque béate, qui lie les utilisateurs Apple avec la firme américaine. Une confiance justifiée dans la plupart des cas. Mais les statistiques ne trompe pas, surtout les statistiques Suisses : Apple s'endors sur ses lauriers, et vient de prendre deux coups de semonce. Le bruit de la détonation parviendra-t-il jusqu'aux oneilles du dernier des deux Steeve ?
