Mardi 29 janvier, Apple a fait la une de l’actualité pour de mauvaises raisons. En créant un appel FaceTime de groupe, il était possible d’entendre son interlocuteur sans que celui-ci réponde. Pire, en cas de manipulation physique de l’appareil, la caméra s’activait par elle-même. N’importe quel iPhone pouvait donc servir de mouchard… depuis trois mois. Dans l’urgence, Apple a désactivé les serveurs de FaceTime de groupe, en attendant une mise à jour corrective d’iOS.
Quelques heures après la révélation de ce bug, de nombreux témoignages étonnants sont apparus en ligne : des utilisateurs d’iPhone ont tenté d’alerter Apple depuis plusieurs jours, en vain. L’une d’entre elles a même été en contact avec les équipes « Sécurité » de la marque, sans que celle-ci juge nécessaire d’interrompre FaceTime ou de patcher iOS en urgence.
La mère d’un adolescent avait prévenu Apple
Le 21 janvier, une semaine avant la révélation publique du bug par 9to5mac, la mère d’un enfant de 14 ans tweete qu’elle a alerté Apple à propos d’un « bug dangereux dans FaceTime ». Il permet d’accéder au micro de n’importe quel iPhone sans aucune autorisation. L’équipe sécurité a bien été avertie, mais n’est pas encore revenue vers elle. Le 23 janvier, une vidéo est mise en ligne sur YouTube et envoyée à Apple dans un nouveau mail au service de sécurité.
VIDEO: Here is a video, recorded & sent to Apple by a 14 yr old & his mom, on JAN 23rd, alerting them to the dangerous #FaceTime bug, that has threatened the privacy of millions. I've removed sensitive / private info on behalf of the mother (an attorney), whom I just spoke to. pic.twitter.com/YIBKXEP3mI
— John Meyer 👻👩🍳🚀 (@BEASTMODE) January 29, 2019
Apple répond à la mère de famille et lui demande de… créer un compte développeur pour pouvoir signaler le bug. Une réponse assez hallucinante quand on réalise l’importance de la situation et le fait que les équipes d’Apple ont eu accès à des preuves.
One of many emails sent to Apple 1 week ago attempting to report the Group FaceTime bug. @cnbc @cnn @foxnews @9to5mac pic.twitter.com/l9IFMZmKh6
— Michele Thompson ☀️ (@MicheleT_inAZ) January 29, 2019
Malgré cette réponse faiblarde et des difficultés à comprendre le fonctionnement de la plate-forme développeur d’Apple, la mère de l’adolescent crée un compte et signale le bug. Elle ne cache pas ses motivations : elle espérait une récompense pour son fils. On ne sait pas si Apple a répondu… mais elle a ensuite tenté de contacter des médias comme Fox News, en vain.
Pour prouver sa bonne foi, elle a depuis envoyé à des médias l’intégralité du mail envoyé à [email protected], le service en théorie responsable de ce genre d’urgences :
Quick facts from my call with the 14 year old’s mom:
– Yes, a 14 year old discovered this bug. He did so "around" Saturday, 1/19
– Mother is a local lawyer in AZ and sent a formal notice to Apple on 1/25
– That formal notice the mom sent to Apple on 1/25 is attached pic.twitter.com/RMbXp3huab
— John Meyer 👻👩🍳🚀 (@BEASTMODE) January 29, 2019
Des procédures de sécurité à revoir ?
Aussi étonnant que soit cet échange, il traduit surtout une grave erreur de gestion des problèmes de sécurité chez Apple. Au lieu de prendre au sérieux sa cliente, l’entreprise a préféré la rediriger vers un service complètement étranger à sa demande et a, au passage, mis en danger un grand nombre d’utilisateurs qui auraient pu être exposés à cette faille après sa révélation. Apple avait été alerté suffisamment en amont pour intervenir avec une mise à jour d’iOS… ou aurait pu au moins couper les serveurs de FaceTime comme il l’a fait ensuite. On en vient à se demander ce qu’aurait fait Apple si les médias n’avaient pas repris l’affaire…
Sur son site, la firme explique ce qu’il faut faire si l’on découvre un problème de sécurité. Un protocole respecté à la lettre par la lanceuse d’alerte, pourtant ignorée par Apple. Espérons que la marque renforcera son protocole à la suite de cette mésaventure. Quoi qu’il en soit, l’entreprise sera forcée de répondre : certains utilisateurs ont d’ores et déjà porté plainte contre Apple et exigent réparation.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.