[ Faille ] Problème de sécurité majeur dans iOS et OSX

 dans Actus, Apple, Failles, OSX, Outils, Sécurité

Bonjour à tous !

Une faille de sécurité fait assez polémique en ce moment concernant Apple.

D’après quelques informations, il s’agit de la plus grosse faille dans l’histoire d’Apple.
Il est donc nécessaire ( le plus rapidement possible ) de faire une mise à jour de votre terminal, cela ne pose pas de problème avec le Jailbreak evasi0n ( version 1.0.6 ).

Du côté du système iOS, Apple a sortie un correctif sous la version 7.0.6 qui spécifie « Cette mise à jour de sécurité corrige un problème relatif à la vérification de la connexion SSL« .
Cette correction s’applique à vos terminaux sous iOS 7.x mais aussi sous 6.x ( si votre terminal est trop vieux, vous n’avez pas de bol mais qui tourne encore sous la version 5.x ? ).

Du côté de l’Apple TV, j’ai effectivement eu une mise à jour automatique en fin de soirée ce vendredi, par contre je ne sais pas s’il s’agit de ce correctif de sécurité ( à confirmer par rapport à la version ).

Côté OSX maintenant on sait que la faille touche la version 10.9 ainsi que les versions antérieurs.
Apple proposera très prochainement un correctif ( pas de confirmation encore ).

Mais pourquoi cette faille est dangeureuse ?
Les protocoles TLS ( Transport Layer Security ) et SSL ( Secure Sockets Layer ) permettent de sécuriser vos échanges sur internet. L’implémentation d’Apple possède un gros bug de développement qui pose problème sur le système de vérification.

Oui mais encore ?
Cela veut dire qu’une personne très mal intentionnée peut exploiter ce bug de manière relativement simple.
Elle peut donc initier une connexion en ce faisant passé pour une autre personne, prennons l’exemple avec un organisme bancaire : « Bienvenue sur votre banque, regarde mon certificat« .
Normalement ( avec un système de clé ) le système qui initie la connexion est capable de vérifier l’authenticité de ce certificat. Le problème est que cette partie n’est pas du tout au point et la personne peut donc ce faire passer pour quelqu’un d’autre.

Erreur de développement …
Après une analyse du code ( OpenSource ! ), Adam Langley a publié le code fautif de cette faille de sécurité.
Sans fournir plus de détails, je vous recommande de prendre connaissance de cet article très bien [ENG] !

Comment corriger cette faille ?
Il existe des correctifs sur la toile mais d’un point de vue personnel je ne vous les recommandes pas ( c’est pour cela que je vous fournis pas de lien non plus ). A vos risques et périls !
Pour les utilisateurs d’OSX, il vous faudra attendre le temps qu’Apple sorte un correctif. Pour les iOS la mise à jour en 7.0.6 corrige ce bug.

Suis-je vulnérable ?
L’accès à cette simple page vous permettra de le savoir rapidement.
Si votre navigation est réellement sécurisé, vous aurez un jolie message d’erreur de la part du navigateur, mais dans le cas contraire, vous avez ce message « If you can see this message then you are probably affected by CVE-2014-1266! …. » qui s’affichera.

[alert type= »success » close= »false »]iOS : les corrections sont faites dans la version 7.0.6 !
OSX : les corrrections sont faites dans la version 10.9.2 ![/alert]

L’article a été modifié avec les informations ci-dessus ( les versions sorties pour les corrections de cette faille ).
Bien évidemment, je vous recommande mettre vos différents systèmes à jour maintenant !

A bientôt !

 

Articles recommandés