Faille HomeKit : le développeur à l'origine de la découverte déçu par la réaction d'Apple

Lors de son lancement en 2014, Apple avait placé la sécurité autour d'HomeKit comme une priorité, imposant même un hardware spécifique et une certification aux constructeurs.

Manque de chance, la firme a dû publier un correctif en urgence ces dernières jours, suite à la découverte d'une faille de sécurité extrêmement grave permettant à un tiers d'accéder aux appareils sans autorisation. Il faut bien comprendre que lorsqu'on parle de domotique, on parle aussi de sécurisation de ses équipements et de risques de cambriolages (serrures connectées, stores etc.) et même de sécurité des individus. Le sujet n'est donc pas à prendre à la légère !

Maintenant que le patch est déployé, le développeur à l'origine de cette découverte a détaillé les dessous de l'affaire. Khaos Tian explique sur Medium que deux bugs étaient présents dans watchOS et iOS, permettant à un tiers de connaitre les identifiants uniques requis par HomeKit pour interagir avec les objets de la maison. HomeKit ne vérifiait pas l'expéditeur du message distant avant de traiter la demande, ce qui a permis à n'importe qui de contrôler à distance les accessoires HomeKit à la maison. En clair, n'importe qui pouvait donc ouvrir votre porte de garage à distance et sans être habilité à le faire.

Tian a averti Apple en octobre dernier, mais dans le même temps, la firme a apparemment introduit une nouvelle faille facilitant encore plus les attaques ! Exaspéré par l'attitude de Cupertino et par les aller-retours incessants, Tian a fini par contacter 9to5Mac pour rendre le problème public et pousser la firme à publier un correctif... ce qu'elle a fait 48H plus tard. En réalité, Apple a désactivé une fonction HomeKit pour pallier le problème temporairement, le vrai correctif n'est sorti que très récemment, soit plusieurs mois après la notification de l'auteur.

Pas étonnant que de nos jours, les gens jettent juste des problèmes de sécurité sur Twitter se lamente Tian. Dans quel monde nous vivons.

Si Apple prend très certainement les problèmes de sécurité au sérieux, il est vrai qu'il faut parfois de longues semaines pour concevoir et tester un correctif, des délais qui ne sont pas toujours bien compris par certains -même les développeurs. Toutefois, c'est plutôt la façon de communiquer de la Pomme avec ses clients et sa communauté qui est régulièrement pointée du doigt, la firme ayant bien du mal à se montrer proche et à l'écoute de ses plus fidèles et dévoués fans consommateurs.