Connexion
Abonnez-vous

iOS 9.2.1 corrige une faille signalée dès juin 2013

Donner le temps au temps

iOS 9.2.1 corrige une faille signalée dès juin 2013

Le 21 janvier 2016 à 14h05

La mise à jour 9.2.1 pour iOS corrige plusieurs failles de sécurité, dont une qui avait été signalée en juin 2013. Maintenant qu’elle est colmatée, la société à l’origine de sa découverte, Skycure, en expose le fonctionnement.

La faille en question réside dans la manière dont iOS gère le stockage des cookies et les portails captifs. Ces derniers sont des pages de connexion qui requièrent de l’utilisateur qu’il s’identifie pour profiter de certains services. On en trouve très facilement des exemples dans des lieux publics tels que les aéroports et les gares, ou dans les hôtels et autres endroits très fréquentés. L’identification permet la facturation à l’acte ou au temps écoulé.

Sur iOS, l’apparition du portail captif passe par l’utilisation d’une vue Safari, c’est-à-dire une émanation extérieure du navigateur, utilisable par les applications tierces. Les portails captifs utilisant des pages standard et non sécurisées, le cookie qui va résulter de la connexion va être entreposé dans une zone non chiffrée.

Partant de ce principe, des pirates pouvaient créer un faux portail captif pour accéder à cette banque de cookies. De là, ils pouvaient dérober les autres cookies, faire en sorte que la connexion au faux service soit maintenue et provoque un empoisonnement du cache, afin qu’un code JavaScript soit exécuté à chaque connexion ultérieure de l’utilisateur au service.

La faille a donc été corrigée dans la mise à jour 9.2.1 sortie récemment pour les appareils Apple compatibles. Le point intéressant, comme indiqué par Skycure, n’est cependant pas tant qu’elle ait été colmatée, que le temps qu’il a fallu à Apple pour corriger le tir : deux ans et demi. Les détails de la faille avaient en effet été communiqués à Cupertino en juin 2013, de manière privée.

Skycure indique que jamais Apple n’avait mis autant de temps pour s’occuper d’un problème, mais note tout de même un élément à sa décharge : le développement du correctif était beaucoup plus complexe que pour un bug classique. En outre, la société de sécurité assure n’avoir observé aucune attaque basée sur cette vulnérabilité. On peut espérer cependant qu’avec autant de temps pour régler le problème, la solution sera plus efficace que dans le cas de GateKeeper.

Commentaires (15)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

2.5 ans <img data-src=" />

votre avatar

Je ne serais pas surpris que ça soit les Blackberry.

votre avatar







Maicka a écrit :



La plupart des soucis viennent de l’interface chaise- clavier.



Pc,mobiles,toutes plateforme.





Certes mais cette faille-la est incorrigible, on le sait. Celle de l’article et celles auxquelles je fais allusion, si. Et c’est bien ça qui me chagrine….


votre avatar

Moi non plus.

mais sur le coup j’y avais pas pensé <img data-src=" />

votre avatar



dont une qui avait été signalée en juin 2013. Maintenant qu’elle est colmatée, la société à l’origine de sa découverte, Skycure, en expose le fonctionnement.



2 plombes et demi ?

C’est une blague ?



Ils sont bien gentils là les skycure, mais comment espère-t-on forcer des gens comme Apple à un minimum de sérieux si on est aussi complaisant avec eux ?

Autant Google avec ses 3 mois chrono avant de balancer les failles de MS au public abuse un petit peu, autant là c’est tout simplement du grand foutage de gueule intersidéral.



Et puis bon le coup de “oh les pov’, cette faille là elle est dure à combler on les comprend un peu”, c’est le petit foutage de gueule de trop. Avec 400 milliards de cash, si les devs d’Aple sont des branques ou alors pas assez nombreux, Apple peut en engager des bons, ou au moins des devs en plus.

votre avatar



Skycure indique que jamais Apple n’avait mis autant de temps pour s’occuper d’un problème, mais note tout de même un élément à sa décharge : le développement du correctif était beaucoup plus complexe que pour un bug classique.





Et hop! un peu de pommade au passage.. Ce serait d’autres boîtes, ce serait inadmissible…

votre avatar







Oliewan a écrit :



Finalement les smartphones les plus sûrs sont les Windowsphones ?





Yep. Parce qu’il n’y en a pas ou presque en circulation, et donc que ca n’intéresse pas les hackers.


votre avatar

Vieux motards que j’aimais !&nbsp;<img data-src=" />

votre avatar

Faut les pardonner, c’est quand même une petite boite avec des moyens limités et peu de personnel.

votre avatar

J’ai toujours un bug récurent dans la partie sms, le clavier disparait quand je veux répondre (zone blanche). C’est bien relou

votre avatar

Donc on a Android, système fragmenté animant une myriade d’appareils trop peu supportés par les fabricants et iOS, mis à jour régulièrement par Apple pour ralentir les iphones mais sans corriger les failles.

Finalement les smartphones les plus sûrs sont les Windowsphones ?

votre avatar







Oliewan a écrit :



Donc on a Android, système fragmenté animant une myriade d’appareils trop peu supportés par les fabricants et iOS, mis à jour régulièrement par Apple pour ralentir les iphones mais sans corriger les failles.

Finalement les smartphones les plus sûrs sont les Windowsphones ?





<img data-src=" />


votre avatar

Oliewan: &nbsp;Blackberry&nbsp;<img data-src=" />

votre avatar

<img data-src=" />

votre avatar

La plupart des soucis viennent de l’interface chaise- clavier.



Pc,mobiles,toutes plateforme.

iOS 9.2.1 corrige une faille signalée dès juin 2013

Fermer