:: Actualité ::
[Les News] [Recherche avancée] [SecALERT]
Apple, un faible pour la pénombre
Après être parvenu à supprimer du programme de la Black Hat la conférence de Charles Edge traitant d’une faille FileVault (voir article du 02/08 ), voilà que l’équipe sécurité du constructeur se retire elle-même du programme et annule un exposé sur les pratiques et politiques de sécurité d’Apple. Une nouvelle qui nous est rapportée par IDG NS et reprise dans les colonnes de ComputerWorld.
Il faut préciser que, depuis quelques années déjà, la politique de sécurité d’Apple est en butte à de nombreuses critiques. Pour avoir, en premier lieu, « copié » Microsoft et adopté un rythme de correctifs fixe et mensuel – une pratique qui accroît les « fenêtres de vulnérabilité »-, pour ne délivrer, lors des alertes, qu’une information réduite à la portion congrue, pour avoir réagi avec acrimonie, face à un « MOAB », ou « Month of Apple Bug » plus provocateur et humoristique que dangereux, la « cote d’amour sécurité » de la Steve Company a pris un peu de plomb dans l’aile.
Cette semaine a d’ailleurs été également marquée par un « entrefilet » de N.Runs frappé d’une conséquente surcharge pondérale (l’entrefilet, pas N.Runs, bien entendu). L’on y décrit le long parcours du chasseur de faille tentant de dialoguer avec un éditeur relativement tatillon et procédurier. L’histoire débute les frimas du 7 mars dernier et s’achève le premier août. 5 mois pour tracer une série de failles… alors qu’il faut parfois moins de 2 jours à un adepte du fuzzing pour dénicher une vulnérabilité ou hacker un iPhone. Il se perd plus de temps du côté de Cupertino pour s’assurer que les gourous sécurité ne divulgueront rien qu’il ne s’en passe à rechercher et appliquer une solution technique.
|
