Contenu de la mise à jour de sécurité d’iOS 15.8.5 et d’iPadOS 15.8.5

Discussion Hacker News

• Il y a beaucoup d’avis négatifs sur l’UI récente d’Apple, mais il faut reconnaître qu’ils continuent vraiment à prendre en charge des téléphones très anciens. Du côté des Google Pixel, j’ai l’impression qu’on ne peut pas espérer ça lol
  • Les modèles à partir du Pixel 8 ont 7 ans de support. C’est moins bien qu’Apple, mais ça reste assez raisonnable. Les Pixel 6 et 7 n’avaient que 5 ans de support, ce qui est un peu court. Le vrai « lol », c’est plutôt pour les modèles d’avant 2021 ou certains Motorola
  • J’utilise un Pixel 3XL, et avec une ROM Android récente installée, ça reste tout à fait correct. Honnêtement, je le trouve même meilleur que certains Android d’entrée de gamme actuels. Dommage que le support officiel soit terminé
  • Mon Pixel XL fonctionne bien pour naviguer sur le web le soir. Je reste sceptique face à l’angoisse du « plus aucune mise à jour système ». J’aimerais vraiment entendre parler d’études ou d’expériences concrètes montrant des cas où utiliser un vieil appareil a réellement exposé quelqu’un à des risques ou à des problèmes de sécurité
  • J’ai récemment remplacé la batterie de mon iPhone 12 mini, et il est aussi performant qu’au premier jour. Le jour où je devrai le « mettre à niveau » de force me rendra triste
  • Dans l’UE, 5 ans de mises à jour sont devenus l’exigence minimale, donc Apple est désormais plutôt dans le bas du classement, même comparé à Google ou Samsung. Apple était peut-être meilleur avant, mais aujourd’hui d’autres fabricants promettent un support plus solide et juridiquement mieux encadré
• Rien de surprenant. J’avais rencontré Samsung autrefois dans le cadre du travail pour acheter plusieurs centaines de smartphones haut de gamme, et ils nous avaient dit qu’ils ne garantissaient que 3 ans de correctifs de sécurité. C’était vers 2019. Apple, de son côté, sans même réunion dédiée, annonçait environ 6 ans de support. En termes de ROI, pour un parc professionnel, l’iPhone durait donc clairement plus longtemps. Nous avons donc acheté uniquement des centaines d’iPhone et n’avons pas adopté Android. Personnellement, j’ai eu des Nexus S et Nexus 5, qui ont eu une durée de vie écourtée par le manque de mises à jour, des boutons défectueux, des micros en panne, etc. Mon Sony Xperia Z5 a même perdu soudainement son capteur d’empreintes à cause d’un problème de brevets en Amérique du Nord, puis l’audio Bluetooth a cessé de fonctionner correctement, au point de ne plus afficher les titres des morceaux. Tout cela en moins de 3 ans. Je n’utiliserai plus jamais de téléphone Android Sony. À ce stade, j’en ai eu assez des ROM custom et j’ai fini par rejoindre le camp du « iPhone, it just works »
  • Pour info, Samsung propose aujourd’hui 7 ans de support OS/sécurité sur ses flagships, et 6 ans même sur les Galaxy A d’entrée ou de milieu de gamme
  • « it just works », ce n’est qu’un slogan marketing. Si on n’utilise que les fonctions dont se sert l’immense majorité des gens (95 % et plus), oui, ça va. Mais dès qu’on sort de là, on ne sait jamais ce qui peut arriver, et résoudre les problèmes devient difficile. C’est fermé et restrictif. J’ai eu de la malchance avec Apple. Les appareils Apple fournis pour le travail ont eu peu de support, des écrans tactiles en panne, des soucis logiciels applicatifs, des batteries défectueuses, une fonction de hotspot à moitié cassée, etc. Je n’ai pas eu ces problèmes sur Android. Quand une app dysfonctionne, sur Android il suffit souvent de réinitialiser ses données, alors que sur iOS cette fonction n’existe même pas, ce qui est pénible. En ce moment, le client mail d’un ami utilisateur d’Apple ne fonctionne ni sur iOS ni sur macOS. Comme le problème se manifeste différemment selon les données ou l’OS, je vais probablement devoir faire 90 minutes de route entre deux sites pour aller vérifier ça moi-même. Apple limite trop les possibilités de dépannage direct quand quelque chose casse, donc c’est un fournisseur avec lequel je n’ai pas envie de travailler. Bien sûr, la plupart des fonctions « marchent », mais c’est aussi le cas sur Android, et de la même façon que j’ai eu une très mauvaise pioche chez Sony, j’ai simplement eu de mauvaises expériences avec Apple. Et quand les problèmes deviennent graves, je trouve préférable d’avoir l’option de remplacer l’OS, comme chez Sony
• Pendant longtemps, une grande raison du faible support à long terme sur Android a été que les fournisseurs de modems/SoC comme Qualcomm ne maintenaient les pilotes et mises à jour logicielles que pendant quelques années. Les appareils d’avant 2020-2021 n’ont pratiquement pas de mises à jour du modem ou des pilotes noyau. Bien sûr, le fabricant joue aussi un rôle d’intégration, mais au final cela limite aussi la durée de support des ROM tierces comme LineageOS. Apple, comme il gère la plupart des composants et des logiciels en interne, peut offrir un support long avec davantage de flexibilité
  • Ce que j’ai du mal à accepter dans cet argument, c’est qu’une part importante des vulnérabilités de sécurité (CVE) n’a rien à voir avec les modems, les pilotes baseband ou d’autres éléments contrôlés par Broadcom. Google peut toujours corriger des parties très exposées, comme les bibliothèques ou les applications. Personnellement, ce sont plutôt les vulnérabilités liées au « parsing d’images dans les messages » qui m’inquiètent. Là, une simple ouverture d’image peut suffire à vous faire attaquer, et cela me semble bien plus réaliste qu’une faille côté modem
  • C’est vrai, mais au fond c’est une limite structurelle du design même d’Android. Je pense qu’on peut critiquer Android pour cela
  • Quand on y pense, c’est absurde. Même des NIC de 20 ans ont encore des pilotes pris en charge dans le noyau Linux, alors que les pilotes matériels de smartphones devraient être publiés sous GPL. Les pilotes propriétaires servent finalement à raccourcir délibérément la durée de vie des appareils, autrement dit à l’obsolescence programmée
  • Ce qui réfute cette excuse habituelle, c’est le mécanisme parfaitement légal qu’est le contrat. On peut imposer la fourniture de mises à jour aussi longtemps qu’on le souhaite après la livraison d’un projet. J’ai moi-même conclu ce type de contrats à répétition dans le conseil aux entreprises
  • Je pense que si Google le voulait vraiment, il pourrait très bien régler ça avec des contrats et de l’argent
• L’avis de sécurité d’Apple dit que « ce problème pourrait avoir été exploité dans le cadre d’une attaque sophistiquée visant des personnes spécifiquement ciblées ». Je me demande si le fait de fournir ce type de correctif de sécurité à d’anciennes versions signifie qu’il faut considérer la vulnérabilité comme particulièrement grave. Je me demande aussi quelle est la politique officielle d’Apple sur la durée du support de sécurité
  • Cela signifie qu’il y a eu des cas d’exploitation réelle dans des campagnes de spyware. La chaîne d’exploitation complète utilisait une deuxième vulnérabilité côté WhatsApp, et cette faille existe dans toutes les apps utilisant le module natif de traitement d’images d’Apple, mais grâce aux sandbox d’Apple (BlastDoor pour iMessage, sandbox de contenu web pour Safari, etc.), l’exploitation sans défaut supplémentaire est peu probable. En revanche, si WhatsApp lui-même est vulnérable, c’est une autre histoire. Du point de vue d’un acteur de spyware, WhatsApp est la meilleure cible possible. Référence : avis de sécurité WhatsApp
  • Un point intéressant, c’est que ce correctif concerne une branche antérieure à la bifurcation d’iPadOS, donc l’iPad est aussi concerné. Ma supposition, c’est que de vieux iPad utilisés comme terminaux de point de vente pouvaient faire partie des cibles. Remplacer un système de caisse dans un restaurant n’a jamais été simple. Les prestataires POS pratiquent souvent des tarifs abusifs

  • Quelle est la durée de support de sécurité par défaut chez Apple ?
    En pratique, ce n’est pas comme si le support était terminé depuis longtemps. La dernière mise à jour de sécurité d’iOS 15 est sortie en début d’année, et cela ne fait que quelques années que l’iPhone 6s a cessé de recevoir les nouvelles versions d’iOS à partir d’iOS 16. En tant que personne ayant utilisé un iPhone plus de 5 ans, j’apprécie vraiment qu’Apple offre un support bien plus long qu’Android

  • Peut-on considérer que ce genre de backport de sécurité vers une ancienne version indique une faille grave ?
    C’est aussi mon hypothèse. Du point de vue de l’utilisateur, ça ressemble à un problème grave et incontrôlable, probablement de type zero-click. Bien sûr, je ne connais pas la position d’Apple, mais je pense la même chose

  • Il n’existe pas de durée officielle précise. Si un problème est vraiment important, ils peuvent publier des mises à jour même pour des appareils très anciens. Par exemple, Apple avait déjà diffusé une mise à jour liée à l’expiration d’un certificat CA Apple pour des iPad utilisés avec les terminaux Square, et cela concernait presque tous les appareils. J’imagine que la définition de la fin de support dépend de la télémétrie d’Apple et de son modèle de menace
• Je trouve intéressant qu’Apple publie des mises à jour de sécurité pour de vieux appareils. Et cette fois, le cas est particulier puisqu’il s’agit d’une défense contre des attaquants de niveau étatique, par exemple dans des contextes de cyberguerre

  Apple a connaissance d’un signalement selon lequel ce problème pourrait avoir été exploité dans le cadre d’une attaque extrêmement sophistiquée visant des personnes spécifiquement ciblées

  • S’il y a vraiment un risque d’attaque menée par un État, alors il faut à mon avis utiliser un téléphone récent avec le dernier OS. Un téléphone récent, c’est quelques centaines d’euros, donc si vous craignez réellement une attaque gouvernementale, vous pouvez facilement passer à un appareil sorti il y a moins de 5 ans. Cela en vaut largement la peine
  • En réalité, j’y vois plutôt une stratégie consistant à corriger d’abord ce type d’attaque complexe ou de piratage de niveau étatique avant que les techniques ne se diffusent dans des outils grand public, afin de protéger un nombre bien plus important d’utilisateurs ordinaires
• Je pense que le titre de l’article est un peu trompeur. On pourrait croire que seul l’iPhone 6s est concerné, alors qu’en réalité la mise à jour est aussi disponible pour les iPhone 6s/7/SE 1re génération, l’iPad Air 2, l’iPad mini 4 et l’iPod touch 7e génération. Il ne s’agit pas seulement d’insister sur « l’iPhone 6s vieux de 10 ans ». Pour info, je ne vais pas mettre à jour tout de suite mon iPhone 7 et mon iPad mini secondaires, au cas où cela poserait des problèmes de jailbreak
  • L’article a probablement choisi de citer seulement l’appareil le plus ancien comme exemple. Je ne pense pas que ce soit un gros problème
• Dans ce contexte, cela ressemble très clairement à une attaque de niveau étatique
  • Probablement le fait d’un seul État
• C’est vrai qu’Apple prend en charge ses téléphones assez longtemps. Mais les « 10 ans de support » ne valent que si l’on a acheté l’iPhone 6s très cher dès sa sortie. L’iPhone 7 (Plus) a été vendu jusqu’en 2019, avec la même version d’OS. Si on regarde de près, cela donne environ 3 ans de mises à niveau majeures de l’OS et 6 ans de correctifs de sécurité
  • Si l’on calcule la durée de support à partir de la fin de commercialisation par le fabricant, certains appareils Android pourraient même afficher un nombre d’années négatif. Et ces 6 ans continuent d’ailleurs « encore aujourd’hui »
• C’est une bonne chose qu’Apple ait publié cette mise à jour. Mais si elle permet réellement de l’exécution de code à distance (RCE), est-ce que cela veut dire que l’iPhone 6s est encore suffisamment utilisé en production pour qu’un acteur malveillant puisse lancer des attaques de masse ?
• « iOS 18.6.1 0-click RCE POC », 50 commentaires, lien connexe
  • Il vaut aussi la peine de consulter l’avis de sécurité WhatsApp, qui ne semble pas avoir été mentionné dans le fil précédent. Cet exploit semble être lié au problème côté WhatsApp, avec chargement de données DNG malveillantes dans WhatsApp en mode « zero-click ». On ne sait pas clairement si cela allait jusqu’à une sortie de sandbox ou une faille noyau. Il est possible que l’impact se soit limité au vol de messages WhatsApp. En général, contourner la sécurité d’iOS nécessite d’enchaîner plusieurs vulnérabilités, mais si l’application visée est elle-même vulnérable, l’attaque devient beaucoup plus simple