Alerté par une vulnérabilité critique dans iTunes dès 2008, Apple n'aura patché la faille de l'un de ses logiciels les plus populaire qu'il y a quelques jours. Un délai étrangement long, surtout quand la faille était utilisée par le Trojan d'une société d'espionnage vendant ses services aux Etats.
Trois ans pour corriger une importante faille de sécurité c'est long, très long. C'est pourtant le temps qu'a mis Apple pour patcher son populaire logiciel iTunes. C'est ce que révèle l'expert Brian Krebs, s'appuyant sur un e-mail signé par un certain Francisco Amato envoyé à Apple le 11 juillet 2008 pour avertir qu'"une fonctionnalité de mise à jour d'iTunes pourrait être utilisée pour diffuser un logiciel malveillant". Or, dans la mise à jour datée de 14 novembre dernier, Apple corrige cette faille d'iTunes, créditant bien Francisco Amato comme étant celui ayant découvert la faille.
Société de "surveillance"
Trois ans est une durée anormalement importante. Surtout que cette faille a été précisément utilisée par la société Gamma, spécialisée dans la surveillance et vendant ses services aux Etats, comme l'a révélé le Wall Street Journal. Le quotidien américain explique d'ailleurs en détails comment cette société commercialisait "FinFisher", qui n'est autre qu'un cheval de Troie permettant une surveillance à distance et qui se déguisait justement en une fausse mise à jour d'iTunes pour exploiter la vulnérabilité découverte par Francisco Amato.
Une faille exploitée par l'Egypte ?
Gamma refuse évidemment de nommer ses clients, mais la "fiche produit" du cheval de Troie "FinFisher" évoque le cas d'un client qui pu déployer le malware via "le principal FAI " d'un pays. Un autre document, apporté par l'expert en sécurité Mikko Hypponen (F-Secure) semblent aussi prouver que l'ancien gouvernement égyptien ait acheté des licences pour ce logiciel FinSher, pour un montant de près de 300 000 euros.
Apple aurait-il sciemment laissé la vulnérabilité ? Interrogé sur la raison pour laquelle, selon lui, la firme de Cupertino a mis autant de temps pour corriger la faille dans iTunes, Mikko Hypponen a confié sa perplexité, préférant laisser à Apple le bénéfice du doute.
Source
Aucun commentaire:
Enregistrer un commentaire