iOS 10 : le code source n'est pas chiffré dans la preview !

Le par  |  32 commentaire(s) Source : MIT Technology Review
Apple iOS 10

Pour la première fois avec iOS 10, Apple n'a pas chiffré le code source de sa plate-forme mobile, laissant à chacun la possibilité de le consulter (mais pas de le modifier). Erreur dramatique ou ouverture volontaire ?

iOS 10 vignetteLa présentation de iOS 10 lors de la keynote d'ouverture du WWDC 2016 a fait la part belle à une ouverture des services (Siri, Maps, iMessage...) du groupe Apple aux développeurs tiers. Nombre de fonctionnalités jusqu'à présent soigneusement contrôlées pourront être exploitées dans des applications tierces.

Mais ce n'est pas, et de loin, la seule surprise de cette nouvelle mouture. Des experts en sécurité ont en effet constaté que le code source de la preview de iOS 10 n'était pas chiffré comme ce fut le cas pour toutes les versions antérieures d'iOS !

Chacun peut voir comment fonctionnent les éléments fondamentaux du système d'exploitation mobile, ce qui laisse les experts perplexes : la firme de Cupertino a-t-elle commis une importante erreur de sécurité en oubliant de chiffrer le code source ou cela participe-t-il de cette ouverture prônée lors de la WWDC ?

iOS 10 verrouillageCar si le kernel reste protégé contre les modifications, n'importe qui peut le consulter...par exemple pour y repérer des failles, simples bugs ou vulnérabilités exploitables pour un jailbreak ou pour diffuser un malware.

Pour Jonathan Levin, expert des arcanes de iOS et MacOS, "cela réduit considérablement la complexité du reverse engineering". Si cette révélation du code semble assez contraire aux habitudes du groupe californien, les experts suggèrent que cela peut aussi contribuer à découvrir des bugs plus rapidement.

C'est peut-être aussi une réaction au bras de fer qui s'est joué avec le FBI autour de l'assistance technique à apporter pour débloquer des iPhone. En donnant directement un aperçu du coeur de iOS 10, Apple peut espérer colmater ces failles que certaines entreprises vendent au plus offrant, ce qui s'est peut-être passé dans le cas de l'iPhone de San Bernardino.

De quoi éventuellement motiver la création d'un programme de chasse aux bugs (bug bounty) contre récompense, déjà à l'oeuvre chez d'autres éditeurs de plates-formes, et qui pourrait au final contribuer à renforcer la sécurité dans iOS.

A bien des égards, iOS 10 constituerait donc un infléchissement dans la culture du secret et du contrôle absolu menée depuis des années par le groupe de Cupertino.

Complément d'information

Vos commentaires Page 1 / 4

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1905666
Ca sent le fail

Enfin, comme dit mouarf, la sécurité par l'obscurentisme, ça marche pas trop donc si le code vient d'être mis en ligne involontairement et sans possibilité d'être patché par une communauté active, ça va chier des bulles
Le #1905667
C'est étrange
Le #1905673
Oui ça sent le gros fail. Je n'y crois pas qu'il mettent le code source en liberté, ils tiennent trop à leurs secrets industriels...
Le #1905679
Je pense au contraire que c'est voulu et que cela va dans la logique actuelle de l'ouverture, comme l'on a pu le voir avec Microsoft.

Il n'y a que des avantages concernant la sécurité.
Le #1905683
JCDentonMale a écrit :

Je pense au contraire que c'est voulu et que cela va dans la logique actuelle de l'ouverture, comme l'on a pu le voir avec Microsoft.

Il n'y a que des avantages concernant la sécurité.


Mouhais

De toutes façons on sera vite fixés ...
Le #1905685
JCDentonMale a écrit :

Je pense au contraire que c'est voulu et que cela va dans la logique actuelle de l'ouverture, comme l'on a pu le voir avec Microsoft.

Il n'y a que des avantages concernant la sécurité.


Ils auraient fait une annonce je pense si c'était volontaire. De plus mettre le code lisible dans les sources ne permet pas réellement de faire des suggestions de patch comme avec un dépôt git. Ce qui me conforte dans l'idée que c'est plus une erreur qu'une réelle volonté d'ouverture.
Le #1905693
Safirion a écrit :

JCDentonMale a écrit :

Je pense au contraire que c'est voulu et que cela va dans la logique actuelle de l'ouverture, comme l'on a pu le voir avec Microsoft.

Il n'y a que des avantages concernant la sécurité.


Ils auraient fait une annonce je pense si c'était volontaire. De plus mettre le code lisible dans les sources ne permet pas réellement de faire des suggestions de patch comme avec un dépôt git. Ce qui me conforte dans l'idée que c'est plus une erreur qu'une réelle volonté d'ouverture.


Je pense plus à quelque chose comme ça en effet.
Le #1905697
Ce n'est pas le code source, c'est le code binaire (compilé donc) du noyau.
Le #1905702
SartMatt a écrit :

Ce n'est pas le code source, c'est le code binaire (compilé donc) du noyau.


Ca se décompile hein
Le #1905708
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]