Une vulnérabilité jour zéro de HomeKit pour iOS rendait possible la prise de contrôle à distance d’objets connectés comme les serrures

HomeKit

Une démonstration de la vulnérabilité de HomeKit, la technologie de domotique d’Apple, pour la version actuelle d’iOS, 11.2, a été présentée au site 9To5Mac.

Cette vulnérabilité jour-zéro, permettait de prendre, sans autorisation, le contrôle à distance d’objets connectés, comme des serrures de portes et des ouvertures de garages.

Le site a confié sa découverte à Apple, qui a développé un correctif pour la faille de sécurité, appliqué sur ses serveurs : il désactive l’accès à distance, qui sera réactivé quand une mise à jour logicielle sera prête, ‘en début de semaine prochaine’.

macOS High Sierra

Ces derniers jours n’ont pas été cléments avec Apple pour la cybersécurité.

La semaine dernière, une vulnérabilité critique était dévoilée, et permettait à toute personne de prendre le contrôle d’un ordinateur Mac équipé du dernier macOS High Sierra.

Pire encore, le premier correctif de sécurité d’Apple était bâclé, et dans la plupart des cas, était rendu caduque par des mises à jour supplémentaires.

Il faudra installer la nouvelle mise à jour, 10.13.2, qui corrige 22 vulnérabilités de macOS, pour espérer venir à bout de la vulnérabilité critique.

Windows

De son côté, Microsoft vient de publier un correctif pour une faille de sécurité affectant Windows Defender et Microsoft Security Essentials, référence CVE-2017-11937.

Quand le Malware Protection Engine télécharge un fichier pour l’examiner, une corruption de la mémoire permettrait d’exécuter du code avec les privilèges LocalSystem.

Cela pourrait arriver avec un courriel ou une page web avec un fichier spécialement conçu pour tirer parti de la faille de sécurité.

Aucune exploitation n’a été mise en évidence à ce jour, mais la faille est suffisamment sérieuse pour qu’un correctif soit mis à disposition en dehors du calendrier habituel des mises à jour de sécurité.

La mise à jour sera installée automatiquement.