Google, Apple, Microsoft et Adobe ont eu raison des charbons ardents la semaine dernière, car leurs derniers produits ont tous été piratés lors du Pwnfest 2016 à Séoul. Windows 10, Android 7.1 et MacOS Sierra ont tous été détruits en quelques instants par des exploits basés sur un navigateur, donnant ainsi aux membres de l'équipe chinoise de Qihoo 360 un accès complet à toutes les fonctions administratives et une généreuse récompense pour avoir été ceux qui y sont entrés. Et Flash, Eh bien, il s’agissait simplement de Flash et le piratage a été plus rapide qu’il ne peut se charger sur une page Web.
Bien sûr, ils l'étaient. Ils le sont presque toujours. Et ils continueront presque toujours à l'être.
Je discutais avec un ami à ce sujet. Elle n'est pas un nerd et a été surprise que cela ait pu se produire. Elle a été plus surprise d'apprendre qu'elle était piratée tous les ans. Après tout, ces entreprises se tiennent sur une scène quelque part et vous disent combien d’argent et de temps elles consacrent à ce produit comme étant la version la plus sécurisée de tous les temps, il est donc logique de penser qu’elles sont invulnérables. Mais aucun logiciel n'est invulnérable car ce n'est tout simplement pas possible.
Ce qui compte vraiment, c’est à quelle vitesse il est corrigé - et non à quelle vitesse il est piraté.
Ces exploits ont tous été rapportés éthiquement. Cela signifie que l'équipe a expliqué à Google (et à tous les autres dont le produit était cassé) comment ils l'avaient fait et n'avaient rien dit à personne. Mais en voyant comment ils ont été initiés, il apparaît que quelque chose comme Javascript (ou une autre plate-forme Web commune) a été exploitée. Cet exploit n'existait pas lorsque Android 7.1, Windows 10 ou MacOS Sierra (et OS X me manque déjà) ont été développés. Il est donc certain que du code n'a pas été mis en place pour gérer ce qui allait arriver. Vous ne pouvez tout simplement pas écrire des solutions de rechange sûres pour tout ce qui pourrait arriver et si vous le pouviez, le logiciel valait des milliards de dollars. Les pirates le savent et les auteurs du code attaqué le savent. Les seules personnes qui devraient le savoir mais qui ne semblent pas l'être, ce sont les médias qui le rapportent comme quelque chose d'inouï et de sensationnel quand c'est vraiment banal et attendu.
Votre téléphone fonctionnant sous Android 7.1 (ou sous Windows 10 ou MacOS Sierra) est probablement la version la plus sécurisée du système d'exploitation jamais construite. Mais cela ne protège que contre ce que les gens qui le construisent connaissaient et contre lui-même. Les gens travaillent déjà à trouver un bogue ou à exploiter quelque chose d'autre et à voir comment ils peuvent l'utiliser pour tout écraser et le graver au sol. Certaines de ces personnes le font pour les bonnes raisons - un quart de million en argent pour le trouver et dire aux entreprises impliquées est la meilleure et la plus juste des raisons. D'autres le font dans l'espoir d'obtenir votre numéro de carte de crédit. Les deux types de personnes auront du succès et tout ce que vous utiliserez sera piraté car il est semé d'embûches.
Même mon BlackBerry Priv, que certaines personnes considèrent comme étant indéchiffrable, est probablement déjà piraté par quelqu'un, quelque part, qui sait que "gaspiller" un exploit contre un téléphone que presque personne n'utilise n'est pas le moyen d'obtenir beaucoup de numéros de cartes. Mieux vaut rester assis là-dessus et espérer que vous pourrez trouver une meilleure cible car une fois découverte, elle sera corrigée. La première chose que vous faites lorsque vous trouvez un exploit Linux est de voir comment vous pouvez l’utiliser contre un ordinateur Windows, car l’objectif est de l’obtenir sur autant de machines que possible.
Votre téléphone utilise un logiciel qui sera piraté. Les personnes qui l'écrivent s'y sont préparées.
Regarde le téléphone entre tes mains. Il contient un logiciel qui sera piraté. Sachez ça. Mais sachez également qu’il existe probablement d’autres facteurs permettant d’atténuer les dommages potentiels et que la société qui a écrit ce logiciel dispose d’une méthode lui permettant de le réparer et d’essayer de vous le communiquer le plus rapidement possible. C’est ce qu’il faut retenir de toutes ces nouvelles de piratage informatique. Ce qui compte, c'est la rapidité avec laquelle les bugs sont corrigés, car ils sont présents dans tous les logiciels jamais écrits. C'est ainsi que le logiciel s'améliore chaque fois qu'il est mis à jour.
Il en a toujours été ainsi et la seule chose qui a changé est la quantité d’attention qu’elle reçoit.