BFM Business

Découverte de failles de sécurité qui permettaient d’activer la caméra d'un iPhone ou d'un Mac

-

- - BFMTV.com

Un chercheur en sécurité informatique a réussi à tromper la vigilance de Safari, rendant possible l'activation à distance de la caméra d'un iPhone ou d'un Mac sans l'accord de son utilisateur. Ces failles ont depuis été corrigées.

“Vous avez été piraté!”. Un chercheur en sécurité a créé un site internet qui, une fois affiché dans Safari, activait la caméra avant de l’iPhone ou celle d’un Mac, sans l’autorisation de l’utilisateur, rapporte le site spécialisé MacGénération. Pour ce faire, Ryan Pickren a combiné trois des sept failles de sécurité trouvées dans le navigateur d’Apple. 

Prévenue en fin d’année dernière, l’entreprise les a depuis toutes résolues. Comme toujours, il faut maintenir ses appareils et ses logiciels à jour pour bénéficier de ces patchs de sécurité. Les trois failles ayant servi à la démonstration du chercheur ont été corrigées avec Safari 13.0.5, lors des mises à jour macOS 10.15.3 et iOS 13.3, disponibles fin janvier.

Selon les explications de Ryan Pickren, Safari autorise certains sites internet considérés comme sécurisés à utiliser la caméra. Le chercheur a donc créé un site et tenté de le faire passer pour fiable auprès de Safari. Il a pour cela fait croire au navigateur qu’il s’agissait de Skype. Safari a donc repris les réglages de sécurité de Skype: tous les utilisateurs qui avaient autorisé Skype à accéder à leur caméra pouvaient être piratés. 

Pour sa découverte, le chercheur a reçu 75.000 dollars (soit 68.800 euros) de la part d’Apple. Bien loin du million de dollars qu'elle peut offrir en cas de découverte d'une faille de grande envergure. Comme d’autres entreprises, elle récompense les “chasseurs de bugs”, permettant aux développeurs de les corriger avant que le grand public n’en soit informé. 

https://twitter.com/Pauline_Dum Pauline Dumonteil Journaliste BFM Tech