Passer au contenu

Une grossière faille de sécurité fragilise les systèmes iOS et Mac OS X

Un bug dans le code d’Apple empêche de vérifier l’authenticité des connexions SSL/TLS, ouvrant la porte aux attaques « man in the middle ». Un patch a été publié pour iOS durant ce week-end. Un autre devrait arriver cette semaine pour Mac OS X.

Ce week-end, Apple a publié en urgence un patch de sécurité pour les terminaux sous iOS 7, pour combler une faille critique dans la gestion des connexions chiffrées SSL/TLS. Enfin… faille est un doux euphémisme. Il faudrait plutôt parler d’un trou béant !

D’après l’analyse d’Adam Langley, ingénieur chez Google, le bug se cache dans une librairie Apple, responsable de la vérification des signatures électroniques des certificats, au moment où s’établit la connexion SSL/TLS. Une ligne de code a été malencontreusement dupliquée (à savoir : « goto fail ; »), ce qui a pour conséquence fâcheuse que le système valide n’importe quelle signature. L’authenticité du certificat n’est donc jamais vérifiée, ce qui laisse la porte ouverte aux attaques par usurpation d’identité.

Lorsque l’utilisateur surfe sur une page sécurisée (email, services bancaires, etc.), un tiers pourrait s’insérer entre le terminal et le point d’accès Internet et se faire passer, sans grande difficulté, pour le site en question (attaque dite « man in the middle »). Ainsi, il pourrait capter les données, ou modifier avant de les renvoyer au vrai site.

Il est conseillé d’installer le patch le plus vite. Pour autant, ce n’est pas non plus la peine de paniquer. Pour exploiter cette faille, il faut pouvoir accéder au réseau qui connecte le terminal à l’Internet. S’il s’agit de votre propre réseau Wifi domestique et que celui-ci est correctement protégé (AES), le risque est quand même faible. En revanche, il faut éviter les hots spots publics, dans les cafés, les parcs ou les aéroports. Attention : cette faille existe également pour les ordinateurs sous Mac OS X. Apple n’a pas encore publié de patch de sécurité pour ces systèmes, mais devrait le faire cette semaine.

Conjectures paranoïaques

La communauté des hackers et chercheurs en sécurité s’interroge sur l’origine de ce bug. Pour certains, il ne s’agit que d’une simple maladresse, une erreur de codage. D’autres, en revanche, trouvent que la ficelle est trop grosse. Cette ligne dupliquée est trop bien placée pour ne pas être un acte de sabotage volontaire. Certains y voit l’œuvre de la NSA qui, on l’a vu avec les documents d’Edward Snowden, dispose des capacités pour s’introduire dans les réseaux informatiques.

Pour sa part, John Gruber, programmeur spécialisé dans les systèmes Apple, estime que la NSA avait certainement connaissance de cette faille, et qu’elle l’exploitait. En revanche, il ne pense pas qu’Apple soit complice dans cette affaire. La question reste ouverte.

Lire aussi:

Apple ID : l’option de double authentification arrive en France, le 21/02/2014
Apple nie avoir collaboré avec la NSA pour créer une porte dérobée sur les iPhone, le 02/01/2014

Sources :

La note de sécurité d’Apple
Le blog d’Adam Langley
Le blog de John Gruber

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert Kallenborn