iOS : iBoot dans la nature ? Apple confirme une fuite de code source

Le par  |  7 commentaire(s)
iOS-colere

Coup de massue pour la propriété intellectuelle d'Apple suite à la divulgation d'un code source d'iOS. A priori, du code iBoot, et pour une ancienne version d'iOS. Les avis sont partagés sur les risques de sécurité. Apple se veut rassurant.

Une publication du code source d'iBoot aux yeux du plus grand nombre ? Apple a obtenu de GitHub le retrait d'un code source lui appartenant, et confirme de la sorte une fuite. Pour autant, Apple souligne l'ancienneté de ce code source d'iOS et cherche à se montrer rassurant au sujet des risques de sécurité.

Dans un communiqué, Apple écrit : " L'ancien code source d'il y a trois ans semble avoir été divulgué, mais par conception, la sécurité de nos produits ne dépend pas du secret de notre code source. Nos produits intègrent de nombreuses couches de protection matérielle et logicielle, et nous encourageons toujours nos clients à mettre à jour les dernières versions logicielles pour bénéficier de la dernière protection. "

Si la récente publication sur le populaire GitHub a déclenché la réaction d'Apple, ledit code source aurait circulé depuis bien plus longtemps. Désormais, malgré les mesures prises pour un retrait, on peut supposer que ce code source sera largement accessible. Impossible d'imaginer qu'il ne retrouvera pas sur des forums plus ou moins cachés… si ce n'était déjà pas le cas.

GitHub-iBoot
Crédit : Motherboard

Apple ne dit pas explicitement que la fuite concerne le code source d'iBoot, et en l'occurrence pour iOS 9.3. Toutefois, cela paraît bel et bien être le cas. Dans son guide officiel de sécurité pour iOS (iOS 11 ; PDF), Apple présente iBoot comme du " code qui est chargé par LLB, et charge à son tour XNU, en tant que partie de la chaîne de démarrage sécurisée. "

LLB fait référence à Low-Level Bootloader, soit le chargeur d'amorçage de bas niveau, et XNU au noyau qui est le cœur des systèmes d'exploitation iOS et macOS. Ce dernier applique des mesures de sécurité comme la signature de code, le sandboxing, la vérification des privilèges.

iBoot touche donc à un élément essentiel d'iOS lors du démarrage d'un iPhone. Ce n'est pas un hasard si Apple offre la somme de 200 000 $ aux chercheurs en sécurité qui découvrent des vulnérabilités relatives à iBoot.

Forcément, on peut penser que le code source dans la nature facilitera la tâche de chercheurs en sécurité pour identifier des failles, voire bénéficiera au jailbreak. Un exploit de type iBoot, ce n'est pas rien en la matière. Pour le risque de sécurité avec des acteurs malveillants…

Certes, Apple - sans doute passablement énervé par cette fuite - se montre rassurant, et à raison. Après tout, les derniers chiffres App Store montrent que iOS 11 concerne deux tiers des appareils iOS, et un taux d'adoption de 28 % pour iOS 10. Or, la fuite de code source touche iOS 9.3. Néanmoins, il y a forcément du code qui a été repris dans les versions ultérieures.

Pour le cas de la publication sur GitHub, le code source semblait incomplet et ne pouvait pas être compilé. En outre, si du code source est une chose, son implémentation en est une autre. La marge de manœuvre pour des individus malveillants n'est pas si grande que cela.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1999513
C'est effrayant. Comment une société comme Apple, dont le budget de sécurisation n'a pratiquement pas de limite, peut avoir des problèmes de fuites aussi élémentaires ?
Le #1999520
Ulysse2K a écrit :

C'est effrayant. Comment une société comme Apple, dont le budget de sécurisation n'a pratiquement pas de limite, peut avoir des problèmes de fuites aussi élémentaires ?


Le facteur humain est incontrôlable...
Le #1999535
Ulysse2K a écrit :

C'est effrayant. Comment une société comme Apple, dont le budget de sécurisation n'a pratiquement pas de limite, peut avoir des problèmes de fuites aussi élémentaires ?


Au hasard un ingé qui s'est fait licencier.

Petite vengeance je dirait.
Le #1999541
Après vous avez des " abrutis " qui votent des lois vous demandant de sécuriser votre connexion (Hadopi) et vous obligent à utiliser internet pour vos demandes administratives et ainsi laisser vos données personnelles sur leurs serveurs(bien sur mieux sécurisés qu'Apple)...
Le #1999544
jacob13 a écrit :

Après vous avez des " abrutis " qui votent des lois vous demandant de sécuriser votre connexion (Hadopi) et vous obligent à utiliser internet pour vos demandes administratives et ainsi laisser vos données personnelles sur leurs serveurs(bien sur mieux sécurisés qu'Apple)...


Purée quand on y pense, ça fait froid dans le dos.
Je me demande si ca tiendrait devant un tribunal avec un bon avocat, qui balancerait les exemples de piratages massifs de grosses boites qui ont connaissances et moyens titanesques.
Le #1999569
Ulysse2K a écrit :

C'est effrayant. Comment une société comme Apple, dont le budget de sécurisation n'a pratiquement pas de limite, peut avoir des problèmes de fuites aussi élémentaires ?


[Demi Troll On]
Chez Apple ont paye les programmeurs chinois des centres de R&D implanté en chine un grain de riz tout les dix millions de ligne de code pondu, du coup faut bien arrondir les fin de mois.
[Demi Troll Off]
Le #1999633
Petite remarque, Android est basé sur du code en libre accès, GNU Linux a tout son code en libre accès.
ET POURTANT, ils sont sécurisés (à un certain pourcentage comme tout système et hors faille non identifiée)

Ce n'est par la divulgation du code source qui pose problème, c'est la manière dont il est écrit. Et le fait qu'il soit en libre accès est un gage de sécurité car tous ceux qui ont les compétences peuvent vérifier le code
[Troll on] et les back door [Troll off]

Si Appel ne veut pas le diffuser, c'est pour des histoires de confidentialité, et non de sécurité. Ou alors ils on un GROS problème.
Suivre les commentaires
Poster un commentaire
Anonyme