Sécurité: Apple a bien du chemin à faire
Ces derniers temps ont été difficiles pour l'image de marque d'Apple, société prenant très à cœur la sécurité et la confidentialité des données de ses clients. On a eu droit successivement à l'incroyable faille Root et à celle qui touchait HomeKit et permettait à n'importe qui de contrôler les appareils installés.
9to5Mac a publié un article sur cette dernière faille, en fait une interview de celui qui l'a découverte, Khaos Tian. Voici l'historique de la chose:
- Après avoir découvert la faille, il a envoyé un message à son sujet aux équipes de sécurité d'Apple.
- Il a reçu une réponse le 30 octobre lui indiquant que le problème serait traité en novembre.
- Il les a recontactés les 31 octobre, 2 novembre et 16 novembre pour tenter de leur faire comprendre la gravité du problème.
- Le 27 novembre il a écrit avec aussi peu de réponse à Craig Federighi.
- Devant le peu de succès de ses démarches et craignant une exploitation malveillante de cette faille, il en a informé des journalistes de 9to5Mac qui ont contacté le service de presse d'Apple à ce sujet. C'est seulement à partir de ce moment-là que le problème a été rendu prioritaire chez Apple et traité dans les 48h.
Les ingénieurs ne se pressaient donc pas, pensant certainement avoir le temps de traiter un problème secondaire pour eux.
Au sujet de la faille ou plutôt des failles, elles montrent aussi une forme d'amateurisme de la part des équipes d'Apple. La première permettait à des personnes externes de récupérer les identifiants uniques des appareils HomeKit, nécessaires à l'envoi de données. La seconde, assez incroyable, fait qu'un appareil HomeKit recevant une instruction va immédiatement l'exécuter, sans même s'assurer que celui qui l'a envoyé est habilité à le faire, une sorte de "sésame ouvre toi" pour toutes les portes du monde.
Il ne reste plus qu'à espérer que tout cela fasse assez de bruit pour que des changements profonds soient amorcés.