Vendredi, Apple a publié sans fanfare ni trompette des mises à jour de sécurité pour l’ensemble de ses appareils mobiles sous iOS 6 et 7. Il s’agissait en fait de colmater une très importante brèche de sécurité dans la gestion des connexions SSL/TLS. Problème : OS X est lui aussi touché, même dans sa version la plus récente, posant un risque sur des millions d’utilisateurs.
Appareils iOS6 et 7 : installez le correctif dès que possible
Les utilisateurs d’appareils mobiles iOS ont vu arriver vendredi une nouvelle mise à jour dédiée à leur système mobile. Estampillée iOS 6.1.6 ou 7.0.6, elle corrige une faille de sécurité particulièrement sérieuse qui permet de contourner les mécanismes de vérification des connexions sécurisées SSL/TLS. En clair, un pirate pourrait tout à fait se faire passer pour une source légitime de contenu et lui permettre d’intercepter tout le contenu entre la machine et le serveur de destination.
La dangerosité de la faille a rapidement donné lieu sur les réseaux à une déferlante d’articles et de précisions, le hashtag « #Gotofail » devenant le signal de ralliement. Le chercheur indépendant Ashkan Soltani (qui avait notamment aidé à prouver que les liens envoyés sous Skype étaient surveillés de manière proactive) s’est ainsi étonné sur Twitter qu’Apple ne procède pas systématiquement aux tests qui auraient permis de détecter ce type de comportement. Mais dans le guide de sécurité fourni par l’entreprise, il est demandé que les « données invalides ou inattendues » soient autant testées que les données attendues. Pour Adam Langley, de chez Google, il s’agit d’une erreur d’autant plus grave qu’elle est grossière.
iOS est corrigé mais la faille reste béante dans OS X
Le fait est que corriger le système mobile n’est cependant pas suffisant car OS X est tout aussi touché. On sait désormais qu’elle est exploitable sous Mavericks (version 10.9) du système, qu’il soit équipé ou non de sa mise à jour 10.9.1. Même la bêta la plus récente de la mise à jour 10.9.2 est toute aussi touchée par la faille, et une page de test permet de s’en rendre compte : si le message s’affiche, c’est que la faille peut être exploitée.
De nombreuses applications OS X sont touchées par la faille, sans parler de tout ce qui s’appuie sur le système, dont Safari. Ainsi, Calendrier, FaceTime, Mail, iBooks ou même encore le service de notifications et le composant de mise à jour logiciel sont concernés. Cependant, les navigateurs tiers ne semblent pas touchés et la page de test ouverte dans Chrome, Firefox et Opera renvoie vers une erreur, signifiant que la faille ne peut pas être exploitée :
La faille réside dans le composant SecureTransport qui est tout simplement l’implémentation par Apple des protocoles SSL et TLS. La firme est au courant de la faille et a confirmé qu’un patch était en préparation, sans pour autant fournir de fenêtre de tir. Il y a de fortes chances pour qu’il soit publié dès que possible et sans attendre la mise à jour 10.9.2, dont la finalisation est d’ailleurs bien longue.
Exploitation : et si la NSA y était pour quelque chose ?
Se pose en outre la question de l’exploitation. Techniquement, toute personne reliée au même réseau que l’utilisateur peut tenter de récupérer son contenu en utilisant cette faille. C’est pour cette raison qu’il est recommandé deux mesures de précaution : utilisez un réseau Wi-Fi privé pour mettre à jour son appareil iOS et ne pas connecter son Mac à des réseaux publics tant qu’une mise à jour n’est pas disponible.
Il n’existe pour l’instant pas de preuves que la faille a été effectivement exploitée, mais on ne sait pas non plus depuis combien de temps exactement elle est présente dans iOS et OS X. Puisque la version 6 du système est sortie en septembre 2012, on peut supposer qu’elle est présente depuis au moins cette période.
John Grubber, souvent en possession d’informations précises sur les projets de la firme, pointe pour sa part un curieux hasard du calendrier : les documents d’Edward Snowden sur Prism montraient que la NSA avait commencé à récupérer des données chez Apple à partir d’octobre 2012, soit un mois après la sortie d’iOS 6. La question se pose pour lui de savoir si cette faille n’est pas l’un des moyens utilisés par la NSA pour obtenir les informations qu’elle souhaite.
Commentaires (66)
Au passage la 7.0.6 ne bouche pas les failles du jailbreak, donc evasi0nà jour pour JB ensuite
" />
" />
Sinon la màj pour iOS6 ne sera proposée qu’aux anciens iPod Touch et iPhone 3GS, les iPhone 4 et plus étant éligibles à la v7, c’est la 7.0.6 qui leur est proposée (qui a dit imposée ?)
edit : [swordé]
" />
sinon, quand on lit le détail du bug, effectivement, c’est moche
tiens, deja ‘dredi?
" />
Je pense à un truc, on pourrait presque dire que c’est du marketing : “regarder, même si y’a des bugs ont les corrigent vite sur iOS et même sur des versions d’ios qui se sont plus en vente”.
entre Nokia qui propose maintenant des smartphone sous Android et Apple qui a des failles de sécurité…
http://static.comicvine.com/uploads/original/13/135591/3257339-depression-meme.j…
10 commentaires, les 3 premiers déjà modérés, c’est du propre!
" />
Et sinon est-ce que iOS5 est touché? Oui je n’ai pas encore sauté le pas
En même temps, une faille trouvée (ancienne ou pas) se corrigera bien plus lentement que son “étalage” public sur le net.
A noter que cette partie du code est open source… Ca tordra peut être les idées reçus du type “la NSA ne peut pas introduire de faille dans un projet libre et open source, vu que le code est vérifié etc ”
Même si la communauté doit un peu plus relire son code qu’Apple, personne n’est a l’abri d’une faille … intentionnel ou non.
Punaise la vie des geeks ici doit être vraiment passionnante..
" />.
Sérieux ça craint vraiment..
Et sinon, très bon article sur les leçons à retenir de ce bug pour le développement: Learning from Apple’s #gotofail Security Bug
Bon, à part ça, je vous rappelle que ce n’est pas un bug, mais une “feature” !
Sous 10.8 pas de soucis
" />
Meilleure page de test que celle citée dans l’article :
http://gotofail.com
Au passage la mise à jour support d’un device sorti il y a presque 5 ans, c’est assez remarquable pour être souligné. On peut leur reprocher ce qu’on veut, c’est vraiment un point fort de l’écosystème Apple. Seul Windows (desktop) arrive à surpasser cette longévité de support d’OS
" />
Y a plutôt intérêt pour Apple car leurs devices sont le support pour tous leurs services, donc iTunes store et appstore… et toute la pub gratuite dès users pris au piège apple… il y a donc un minimum à assurer.
Un patch pour os x ici :http://www.sektioneins.de/en/blog/14-02-22-Apple-SSL-BUG.html
“pointe pour sa part un curieux hasard du calendrier : les documents d’Edward Snowden”
" />
" />
Ah ce fameux hasard, dirait-on même ce libre-arbitre, qui fait de nous une civilisation ayant le choix de décider ce que l’on souhaite vraiment…
Ou pas…
curieux hasard du calendrier : les documents d’Edward Snowden sur Prism montraient que la NSA avait commencé à récupérer des données chez Apple à partir d’octobre 2012, soit un mois après la sortie d’iOS 6. La question se pose pour lui de savoir si cette faille n’est pas l’un des moyens utilisés par la NSA pour obtenir les informations qu’elle souhaite.
Ça ne me surprendrait absolument pas.
De nombreux acteurs de la sécurité avaient déjà dénoncé le jeu dangereux de la NSA qui ne pourrait se faire que dépasser par les événements en jouant à ce petit jeu.
Dire que notre prof nous a bien dit de faire attention à ce genre de chose quand il n’y a pas d’accolades au tout premier cours du langage C
" />