Le système qui permet à l'utilisateur d'un Mac d'envoyer un SMS au travers de son iPhone comportait un méchant bug de sécurité, explique Khaos Tian. Ce dernier s'est fait remarquer ces dernières semaines en mettant à jour une importante faille de sécurité dans HomeKit et en montrant, au passage, que la communication entre l'équipe sécurité d'Apple et ceux qui leur soumettent des bugs n'était pas toujours au niveau des enjeux (lire HomeKit : la sécurité de la maison Apple se fissure).
Rebelote avec cette nouvelle découverte que détaille Khaos Tian. Apple l'a corrigée il y a une semaine mais il exprime à nouveau sa frustration vis-à-vis de ses interlocuteurs chez la Pomme.
Le bug se situait côté serveur, au niveau d'IDS, l'annuaire qui associe l'identité d'un utilisateur (numéro de téléphone, email) avec son appareil iOS. Khaos Tian a découvert que l'on pouvait se substituer à cette personne et envoyer, en son nom, des SMS à une autre, qui croira leur origine parfaitement légitime :
Vous voyez cette fonction super pratique et magique qui vous permet d'envoyer des SMS sur votre Mac via votre téléphone ? Il s'avère que la partie "Ça fonctionne tout simplement" n'est possible que parce que votre téléphone va traiter n'importe quelle commande lui demandant d'envoyer des SMS à partir du numéro actuel. Et notre assistant personnel bien-aimé, Siri ? C'est aussi un "pantin" qui traite la commande sans vérifier que la commande vient de vous. Les deux daemons [des processus système, ndlr] ne vérifient pas l'origine du message et traitent la requête lorsque IDS la leur transmet.
Normalement, poursuit Khaos Tian, IDS est prévu pour que seul le propriétaire d'un compte iCloud puisse envoyer des SMS via la passerelle du Mac ou par Siri. Cependant, un hacker pouvait expédier un message à IDS contenant — en plus du texte destiné à l'interlocuteur visé — une instruction capable de forcer son envoi comme s'il s'agissait d'un SMS. C'est ainsi le message lui-même qui avait valeur de preuve de sa légitimité au lieu de son expéditeur.
Khaos Tian dit qu'Apple a corrigé cette faiblesse entre le 19 et le 20 décembre. Il en avait fait la découverte les 15 et 16 décembre. Le hacker avait contacté Apple en émettant le désir d'obtenir l'invitation permettant de participer à son programme de récompenses.
Il a communiqué quelques éléments sur cette nouvelle faille par mail puis par téléphone, mais ses interlocuteurs n'ont montré aucune appétence à lui fournir ce sésame. À leurs yeux, apparement, le fait qu'il se soit tourné vers la presse pour révéler la précédente faille sur HomeKit le disqualifie à participer à ces programmes où la discrétion est de mise jusqu'à ce que le correctif du problème soit disponible.
À ceci près que dans le cas d'HomeKit, c'est devant l'absence d'échange de l'équipe sécurité, et alors que les premiers correctifs effectués discrètement ne faisaient qu'aggraver les choses, que Khaos Tian s'est tourné vers l'une de ses connaissances chez 9to5mac. Face à la perspective d'une révélation des problèmes encore existants, Apple a alors accéléré le mouvement.
Comme dirait Phil Schiller, c'est une « mauvaise semaine », mais ces semaines qui en ce moment se suivent et se ressemblent.
