L’incroyable retard d’Apple pour corriger le bug de FaceTime

0
42

Mardi 29 janvier, Apple a fait la une de l’actualité pour de mauvaises raisons. En créant un appel FaceTime de groupe, il était possible d’entendre son interlocuteur sans que celui-ci réponde. Pire, en cas de manipulation physique de l’appareil, la caméra s’activait par elle-même. N’importe quel iPhone pouvait donc servir de mouchard… depuis trois mois. Dans l’urgence, Apple a désactivé les serveurs de FaceTime de groupe, en attendant une mise à jour corrective d’iOS.

Quelques heures après la révélation de ce bug, de nombreux témoignages étonnants sont apparus en ligne : des utilisateurs d’iPhone ont tenté d’alerter Apple depuis plusieurs jours, en vain. L’une d’entre elles a même été en contact avec les équipes « Sécurité » de la marque, sans que celle-ci juge nécessaire d’interrompre FaceTime ou de patcher iOS en urgence.

La mère d’un adolescent avait prévenu Apple

Le 21 janvier, une semaine avant la révélation publique du bug par 9to5mac, la mère d’un enfant de 14 ans tweete qu’elle a alerté Apple à propos d’un « bug dangereux dans FaceTime ». Il permet d’accéder au micro de n’importe quel iPhone sans aucune autorisation. L’équipe sécurité a bien été avertie, mais n’est pas encore revenue vers elle. Le 23 janvier, une vidéo est mise en ligne sur YouTube et envoyée à Apple dans un nouveau mail au service de sécurité.

Apple répond à la mère de famille et lui demande de… créer un compte développeur pour pouvoir signaler le bug. Une réponse assez hallucinante quand on réalise l’importance de la situation et le fait que les équipes d’Apple ont eu accès à des preuves. 

Malgré cette réponse faiblarde et des difficultés à comprendre le fonctionnement de la plate-forme développeur d’Apple, la mère de l’adolescent crée un compte et signale le bug. Elle ne cache pas ses motivations : elle espérait une récompense pour son fils. On ne sait pas si Apple a répondu… mais elle a ensuite tenté de contacter des médias comme Fox News, en vain.

Pour prouver sa bonne foi, elle a depuis envoyé à des médias l’intégralité du mail envoyé à product-security@apple.com, le service en théorie responsable de ce genre d’urgences :

Des procédures de sécurité à revoir ?

Aussi étonnant que soit cet échange, il traduit surtout une grave erreur de gestion des problèmes de sécurité chez Apple. Au lieu de prendre au sérieux sa cliente, l’entreprise a préféré la rediriger vers un service complètement étranger à sa demande et a, au passage, mis en danger un grand nombre d’utilisateurs qui auraient pu être exposés à cette faille après sa révélation. Apple avait été alerté suffisamment en amont pour intervenir avec une mise à jour d’iOS… ou aurait pu au moins couper les serveurs de FaceTime comme il l’a fait ensuite. On en vient à se demander ce qu’aurait fait Apple si les médias n’avaient pas repris l’affaire…

Sur son site, la firme explique ce qu’il faut faire si l’on découvre un problème de sécurité. Un protocole respecté à la lettre par la lanceuse d’alerte, pourtant ignorée par Apple. Espérons que la marque renforcera son protocole à la suite de cette mésaventure. Quoi qu’il en soit, l’entreprise sera forcée de répondre : certains utilisateurs ont d’ores et déjà porté plainte contre Apple et exigent réparation.

LEAVE A REPLY

Please enter your comment!
Please enter your name here