Dans le cadre d’un programme de bug bounty, Apple a récompensé une équipe de chercheurs en sécurité en leur versant 288 000 dollars pour la découverte de 55 failles dont 11 critiques. Elles ont toutes été comblées en moins de deux jours.
A la tête d’une équipe de white hackers, le chercheur en sécurité Sam Curry n’est âgé que d’une vingtaine d’années. (crédit : Sam Curry)
La chasse aux bugs peut rapporter gros. Ce n’est pas l’équipe de white hackers pilotée par le jeune (20 ans) Sam Curry qui dira le contraire en étant récompensé par Apple de 288 000 dollars pour avoir révélé l’existence de nombreuses failles. Du 6 juillet au 6 octobre 2020, cette équipe de chercheurs (Brett Buerhaus, Ben Sadeghipour, Samuel Erb et Tanner Barnes) en sécurité a participé à un bug bounty organisé par Apple. A cette occasion, l’existence de 55 vulnérabilités dont 11 critiques dans ses différents systèmes, services et solutions a été trouvée, et Apple prévenu dans la foulée. Avec à la clé des risques réels notamment en termes de vol d’e-mails personnels et de données cloud.
« Si les problèmes avaient été utilisés par un attaquant, Apple aurait été confronté à une divulgation massive d’informations et à une perte d’intégrité », a expliqué Sam Curry. « Par exemple, les attaquants auraient accès aux outils internes utilisés pour gérer les informations des utilisateurs et pourraient en outre modifier les systèmes pour qu’ils fonctionnent comme les pirates le souhaitent ».
Une vulnérabilité XSS dans l’analyseur JavaScript très ennuyeuse
Parmi les 11 failles critiques qui ont pu être corrigées, on trouve pêle-mêle de l’exécution de code distant par contournement des commandes d’autorisation, de l’injection de code via Unsanitized Filename Argument ou Unsanitized Input Parameter, ou encore une attaque de type Wormable Stored XSS pour compromettre un compte iCloud.
Dès qu’il a eu connaissance de ces failles, Apple les a corrigé dans la foulée : de 4 à 6 heures pour certaines jusqu’à 1 ou 2 jours pour d’autres. De toutes celles portées à sa connaissance, la vulnérabilité XSS dans l’analyseur JavaScript utilisée par les serveurs de www.iCloud.com est sans aucun doute la plus critique de toutes. Étant donné qu’iCloud fournit un service à Apple Mail, la faille aurait pu être exploitée envers toute personne disposant d’une adresse iCloud.com ou Mac.com via un e-mail de phishing contenant des caractères malveillants.