Une équipe de cinq pirates éthiques a découvert un grand total de 55 vulnérabilités dans une gamme de services d'Apple, avec près d'une douzaine de failles classées comme critiques. Les failles de sécurité révélées - qui ont été trouvées en trois mois et rapidement corrigées - ont valu aux pirates informatiques un total de 288 500 $ US de récompenses dans le cadre du programme de prime aux bogues Apple Security Bounty. Et même cela n'est peut-être pas le décompte final, car il s'agit de récompenses en espèces pour 32 vulnérabilités; le paiement des autres devrait suivre bientôt.

« Au cours de notre engagement, nous avons trouvé une variété de vulnérabilités dans des parties centrales de leur infrastructure qui auraient permis à un attaquant de compromettre totalement les applications des clients et des employés, de lancer un ver capable de prendre automatiquement le compte iCloud d'une victime, de récupérer le code source de projets internes d'Apple, de compromettre totalement un logiciel d'entrepôt de contrôle industriel utilisé par Apple, et de prendre le contrôle des sessions des employés d'Apple avec la capacité d'accéder aux outils de gestion et aux ressources sensibles », soulignent les cinq pirates éthiques.

LECTURE CONNEXE : Un adolescent empoche 1 million $ US de prime au bogue

Pas moins de 11 vulnérabilités sont considérées comme critiques, dont 29 sont jugées élevées, 13 moyennes et les deux autres faibles. Pour évaluer la gravité des failles, l'équipe a utilisé une combinaison du Common Vulnerability Scoring System (CVSS) et de sa connaissance de l'impact des bugs sur les entreprises.

Deux vulnérabilités se distinguent particulièrement parmi les failles : une faille d'exécution de code à distance (RCE) qui pourrait permettre une compromission complète du programme Apple Distinguished Educators et une vulnérabilité XSS (Cross-Site Scripting) stockée dans un ver qui pourrait permettre à un acteur de la menace de voler des données iCloud.

Dans le premier cas, un acteur de la menace qui réussit à contourner l'authentification et à accéder à la console d'administration pourrait compromettre complètement l'application. « Dans l'ensemble, cela aurait permis à un attaquant d'exécuter des commandes arbitraires sur le serveur web ade.apple.com, d'accéder au service interne LDAP (Lightweight Directory Access Protocol) pour la gestion des comptes utilisateurs et d'accéder à la majorité du réseau interne d'Apple », selon les pirates.

Pendant ce temps, les chercheurs ont également été en mesure d'élaborer une preuve de concept qui leur a permis de démontrer comment un pirate informatique pouvait potentiellement exploiter la faille du XSS vermouillable. L'attaque consiste à modifier une balise de feuilles de style en cascade, qui serait ensuite envoyée par courrier électronique à une adresse iCloud. Un attaquant pourrait secrètement voler toutes les données que la victime a stockées sur son iCloud, y compris des photos, des vidéos et des documents, et diffuser le courriel malveillant à toutes les personnes figurant sur la liste de contacts de la victime.

L'équipe a fait l'éloge du géant technologique Cupertino pour sa rapidité de réaction : « Dans l'ensemble, Apple a été très réactif à nos rapports. Le délai d'exécution de nos rapports les plus critiques n'a été que de quatre heures entre le moment de la soumission et celui de la réparation ». La plupart des autres défauts ont été corrigés en un ou deux jours ouvrables.