Selon la presse américaine, Apple et Google s’apprêtent à corriger une faille de sécurité présente depuis près de 20 ans dans leur navigateur. Un chercheur doit présenter cette vulnérabilité lors de la Def Con à Las Vegas.
Régulièrement de vieilles failles sont dénichées par des chercheurs. Celle trouvée par un expert de l’entreprise de cybersécurité Oglio est originale par sa longévité, 18 ans (les dernières traces du bug datent de 2006). Il va présenter sa trouvaille à l’occasion de la Def Con de Las Vegas. La faille touche les navigateurs Safari d’Apple, Chrome de Google et Firefox de Mozilla.
Elle concerne une adresse IP qui a une fonction particulière. Les terminaux connectés à Internet utilisent des adresses IP pour l’identification des terminaux et de leur emplacement, et l’adresse IP 0.0.0.0 est utilisée dans des circonstances spécifiques : elle sert généralement d’adresse de remplacement le temps que l’adresse IP réelle soit disponible.
Apple et Google en mode correctif, Mozilla en mode réflexion
Le spécialiste d’Oglio a découvert que des cybercriminels exploitent le traitement par Safari, Chrome et Firefox des requêtes à une adresse IP 0.0.0.0. Selon Forbes qui s’est fait l’écho de ce bug, les navigateurs envoient les requêtes « à d’autres adresses IP, y compris ‘localhost’, un serveur sur un réseau ou un ordinateur généralement privé et souvent utilisé pour tester du code en cours de développement ». Un cybercriminel peut envoyer une requête à cette adresse pour obtenir des données privées.
Apple a rapidement pris les devants en indiquant au quotidien américain que Safari dans macOS Sequoia bloquera tout site web tentant de contacter l’adresse IP 0.0.0.0. Le correctif étant basé sur Safari et non sur le système d’exploitation, il sera inclus dans Safari 18 lorsqu’il sera disponible pour les anciennes versions de macOS, dont Sonoma et Ventura. Google a publié un billet de blog expliquant qu’elle fera la même chose avec Chrome. Par contre Mozilla ne prévoit pas de bloquer les requêtes 0.0.0.0 dans son navigateur Mozilla, mais l’entreprise étudie la question, souligne Forbes.
En parallèle de la présentation d’iOS 18, Apple a dévoilé la prochaine version de MacOS baptisé Sequoia. La firme met clairement le cap sur l’IA avec plusieurs fonctionnalités dans ce domaine.
Lors de la WWDC, Apple a présenté la dernière version du système d’exploitation pour les Mac. MacOS 15 ou Sequoia apporte son lot de fonctionnalités en particulier autour de l’IA. Petit tour d’horizon de quelques-unes des plus marquantes.
iPhone Mirroring
Apple fait un pas de plus dans la convergence de ses OS. Avec la fonction iPhone Mirroring, les possesseurs d’iPhone pourront accéder directement depuis leur Mac à l’interface d’iOS. Une fois établie la connexion, sans fil, entre les deux terminaux, l’écran d’accueil du smartphone est directement visible sur celui du Mac. Ensuite, les utilisateurs peuvent cliquer sur les applications de l’iPhone et les utiliser, activer des notifications et lancer l’app appropriée. Ils peuvent aussi glisser et déposer des photos et des vidéos de l’un à l’autre. Enfin, le son de l’iPhone peut être transmis par la sortie audio du Mac et les notifications du mobile sont intégrées à la liste des notifications de MacOS.
La fonction iPhone Mirroring assure une expérience sans couture entre l’iPhone et le Mac. (Crédit Photo: Apple)
Une interface utilisateur en tuile pour organiser les fenêtres
Organiser les fenêtres peut devenir très fastidieux quand on travaille sur plusieurs applications et fichiers à la fois. Dans MacOS Sequoia, il est possible désormais faire glisser une fenêtre vers le bord de l’écran et MacOS proposera une vue en mosaïque de toutes les fenêtres ouvertes. Les tuiles peuvent être disposées côte à côte ou dans un coin. À noter que de nouveaux raccourcis clavier ont été ajoutés pour gérer les tuiles.
L’interface en tuile est de plus en plus automatisée. (Crédit Photo: Apple)
Un gestionnaire de mots de passe made in Apple
L’introduction de l’application Password par Apple offre enfin un meilleur moyen d’accéder aux mots de passe et autres informations stockées dans le trousseau. Les données contenues dans l’application sont chiffrées et peuvent être synchronisées avec d’autres appareils via iCloud, et même avec Windows via l’application iCloud pour Windows.
Apple dispose maintenant de sa propre application de gestion des mots de passe. (Crédit Photo: Apple)
Safari
La nouveauté pour le navigateur Safari concerne l’ajout de la fonctionnalité « Highlights » qui propose d’obtenir des informations relatives à la page web visitée. Par exemple, si l’on réserve une chambre d’hôtel, Safari peut rapidement fournir un itinéraire vers cette destination sur Maps. Par ailleurs, la fonction Reader propose désormais un résumé et une table des matières pour accéder rapidement au contenu de la page web. Un lecteur (Viewer) apparaît quand une vidéo est détectée sur une page web. Elle comprend un tas de commandes et offre la possibilité de placer la vidéo en mode image dans l’image.
La fonction Highlights débarque sur MacOS. (Crédit Photo: Apple)
Amélioration des vidéoconférences
D’autres fonctionnalités introduites dans MacOS Sequoia peuvent être utilisées dans des applications de vidéoconférence comme FaceTime et Zoom. Les présentateurs peuvent désormais voir un aperçu de leurs diapositives afin de s’assurer que leur présentation se déroule comme prévu. Les participants peuvent aussi personnaliser leur arrière-plan avec un fond d’écran MacOS ou une photo.
MacOS 15 améliore les vidéoconférences FaceTime ou Zoom. (Crédit Photo: Apple)
Fonctionnalités Apple Intelligence
MacOS Sequoia comporte aussi une tonne de fonctions d’IA que l’on retrouve dans iOS 18 et iPadOS 18. En voici un bref résumé :
– Outils de rédaction : Dans les applications comme Mail, Pages, Notes et autres, le contenu écrit pourra faire l’objet de suggestions de révision, profiter d’une relecture et d’une édition de textes, etc. Mail proposera des résumés de courriels et des réponses pertinentes.
Exemple de l’apport de l’IA dans Mail. (Crédit Photo: Apple)
– Image Playground : les applications pourront créer des images dans l’un des trois formats suivants : Animation, Illustration ou Esquisse. Dans Messages, Image Playground peut servir pour élaborer des images personnalisées ; dans Notes, il peut être utilisé pour transformer des croquis en images plus soignées.
– Photos : Un outil dans l’application Photos facilitera la recherche des photos en fonction d’un ensemble de caractéristiques, « montrez-moi des photos avec un ballon de basket », par exemple. Un autre outil de nettoyage supprimera des éléments d’une photo.
– Siri : De nombreuses fonctionnalités Apple Intelligence sont mises en œuvre par l’intermédiaire de Siri, qui comprendra mieux les commandes contextuelles et pourra exécuter des fonctions en tenant compte du contexte d’utilisation.
Installation de MacOS Sequoia
Les développeurs ont déjà accès à la version bêta de macOS Sequoia, et une version bêta publique sera disponible en juillet. La version release officielle est prévue pour l’automne et sera gratuite pour tous les utilisateurs.
MacOS 15 est compatible avec les Mac suivants :
– Macbook Air 2020 ou ultérieur
– Macbook Pro 2018 ou ultérieur
– iMac 2019 ou ultérieur
– iMac Pro 2017 ou ultérieur
– Mac mini 2018 ou ultérieur
– Mac Studio 2022 ou ultérieur
– Mac Pro 2019 ou ultérieur
Mais ce n’est pas tout : pour utiliser les fonctionnalités d’Apple Intelligence, le Mac doit être équipé d’une puce M1 ou d’une version ultérieure. Ces fonctionnalités ne fonctionneront pas sur les Mac Intel.
Pour obtenir à la version bêta, il faut être enregistré comme développeur. Une fois connecté avec son identifiant Apple, ouvrir « Réglages système > Général > Mise à jour logicielle > Mises à jour bêta » sur le Mac et choisir MacOS Sequoia Developer beta.
La vulnérabilité Achilles, découverte par Microsoft, a été comblée par Apple dans les récentes mises à jour de macOS Ventura, Monterey et Big Sur.
Ceux qui n’ont pas mis à jour leur ordinateur Mac avec la dernière version de Ventura, Monterey ou Big Sur, devraient se dépêcher de le faire. En effet, un méchant bug découvert par Microsoft et corrigé dans les mises à jour livrées par Apple la semaine dernière pourrait être utilisé par un attaquant pour contourner les protections de sécurité strictes du constructeur et installer des logiciels malveillants sur les ordinateurs Mac.
Sur un blog consacré à la sécurité, Microsoft a expliqué comment était exploitée la vulnérabilité baptisée Achilles. Pour aller à l’essentiel, celle-ci utilise un format de fichier de macOS appelé AppleDouble qui comprend des listes de contrôle d’accès avec des autorisations restrictives pour tromper Gatekeeper, une fonction de macOS qui empêche l’installation de logiciels malveillants. Une fois Gatekeeper contourné, l’installation du logiciel peut se faire sans que l’utilisateur soit averti ou qu’une partie du système l’empêche, même en mode Isolement ou Lockdown. Microsoft fait remarquer que, comme le nouveau mode Lockdown d’Apple vise à stopper les exploits d’exécution de code à distance par zéro clic, il est sans défense contre la vulnérabilité Achilles.
La faille Achilles corrigée dans macOS Ventura dès octobre 2022
Enregistrée dans la National Vulnerability Database sous la référence CVE-2022-42821, la faille Achilles a été découverte par Microsoft en juillet dernier. Il est d’usage que les découvreurs de vulnérabilités dévoilent leurs découvertes après la publication des correctifs. Ce qu’a fait Microsoft en publiant une vidéo de démonstration de preuve de concept pour Achilles visionnabe ici. D’après les notes de sécurité d’Apple accompagnant la version de macOS Ventura livrée en octobre, Achilles a été corrigé. Mais la mention de la correction ne figurait pas dans la version originale des notes et n’a été ajoutée que le 13 décembre. Apple a également corrigé Achilles dans macOS Monterey et Big Sur dans des mises à jour publiées la semaine dernière.
C’est en 2012, avec Mac OS X Mountain Lion, qu’Apple a introduit la fonction Gatekeeper dans son système. Depuis, quelques failles de sécurité ont été corrigées (le blog de Microsoft répertorie six vulnérabilités récentes en plus d’Achilles). Même si Gatekeeper est une fonctionnalité importante pour protéger le Mac, elle n’est pas parfaite. C’est une raison de plus pour laquelle il est toujours préférable d’installer les dernières mises à jour du système d’exploitation dès que possible.