Ryan Pikren est le chercheur qui a trouvé pas moins de sept failles de sécurité zero-day sur des appareils Mac et iPhone. On pouvait activer la caméra à votre insu, grâce à Safari. D’ailleurs, tout le monde (même Apple) n’en savait rien jusqu’en décembre dernier. Pour preuve, le hacker a réussi à activer la webcam d’un MAC et la caméra avant d’un iPhone à distance, à l’insu de leurs utilisateurs en exploitant trois des sept failles qu’il a découvertes.
Pour ce faire, il a déjoué les mécanismes de Safari, en créant un faux site que celui-ci a identifié comme étant Skype. C’est cette ruse qui a influencé le navigateur d’Apple. Ainsi, lorsque l’utilisateur ouvrait une page Skype, il autorisait Safari à activer la caméra. Ryan Pikren a ainsi prouvé qu’il était possible de pirater les appareils Apple, de prendre le contrôle de sa caméra (mais aussi son microphone), d’espionner et de prendre possession d’informations privées et personnelles.
En fait, il a réussi à créer la confusion avec Safari en manipulant l’URL permettant ainsi à son faux site d’éviter le chargement. À la fois facile mais ingénieux, l’idée n’était pas banale.
Failles comblées :
Oui, c’est assez flippant, mais Apple vous rassure, Ryan Pikren leur a fait part de ces failles en premier (décembre 2019) et la totalité de ces problèmes est désormais rectifiée.
Les trois failles ayant permis le piratage et la prise de contrôle de la caméra à distance, considérées plus critiques par Apple ont été corrigées dans la mise à jour Safari 13.0.5 publiée sur macOS 10.15.3 et iOS 13.3 le 28 janvier.
Le reste, qu’ils ont jugé moins grave, a été rectifié à travers Safari 13.1 publié le 24 mars.
De ce fait, assurez-vous que vos appareils iPad, Mac, iPhone soient mis à jour régulièrement. Apple vous le recommande pour plus de protection.
Apple récompense le chercheur en lui offrant 75 000 dollars :
Ryan Pikren, le jeune technicien australien a reçu la somme de 75 000 dollars de la part d’Apple en guise de récompense pour avoir révélé les sept failles de sécurité et qui lui ont permis de pirater les caméras de ces appareils. Un jeu de sept erreurs qui a rapporté gros.
À titre indicatif, sachez qu’Apple promet jusqu’à 1 million de dollars (suivant le degré de gravité) de récompense à quiconque arrive à déjouer leur système. Probablement en vue de parfaire le service proposé aux utilisateurs. D’autres exploitants en proposent, mais le plus gros montant reste celui proposé par la pomme croquée. C’est peut-être le prix qu’ils attribuent à la fiabilité de leur système. Nous pensons qu’une telle somme joue avant tout un rôle psychologique pour rassurer les utilisateurs.
Notons toutefois que Ryan Pickren a déclaré que les utilisateurs ne doivent jamais penser que leur caméra soit totalement sécurisée, quel que soit le système et le fabricant.