MacBidouille

Vous vous souvenez tous de la société NSO spécialisée dans le déblocage de smartphones dont les iPhone. Pour y parvenir cette société se base sur des failles de sécurité non comblées car la plupart du temps encore inconnues des éditeurs de logiciels. Ce sont donc techniquement des failles 0-Day achetées à des chercheurs en sécurité à des prix parfois très très élevés.

Des chercheurs en sécurité de Google spécialisé dans la surveillance et l'analyse d'attaques pirates ont découvert que des attaques récentes visant le gouvernement mongol (probablement commanditées par d'autres états) ont utilisé les mêmes failles que celles dont se servent NSO et son concurrent Intellexia. La similitude est telle qu'il semble bien qu'il y ait eu une fuite de ces failles et des moyens de les exploiter.

Il n'y a hélas rien de bien surprenant là dedans. Une fois que l'on sait qu'une faille existe, ce n'est qu'une question de temps avant qu'elle ne soit exploitable par ceux qui sont très motivés.

Il faudrait probablement un moratoire mondial sur l'informatique pour que tous les éditeurs de logiciels, à commencer par les systèmes d'exploitation, ne prennent le temps de sécuriser au maximum leur code. D'un autre côté il faudrait que ces mêmes acteurs acceptent de payer quel qu'en soit le prix la primeur des failles concernant leurs produits afin de les combler au plus tôt.

Pour terminer, Snow Leopard vient de fêter les 15 ans de la sortie. Pour rappel, il avait succédé à Leopard sans nouveautés, Apple ayant décidé de le rendre plus fiable, plus stable et plus efficace. Il serait peut-être temps de recommencer.