Faille de sécurité béante sur iPhone

menace securite (crédit photo © mkabakov - shutterstock)

La faille iOS qu’Apple a corrigée vendredi porte sur l’intégration du protocole de chiffrement SSL. Une vulnérabilité vieille de plusieurs mois.

Apple essuie une sérieuse faille de sécurité sur ses terminaux mobiles. Vendredi, la firme de Cupertino a diffusé un correctif pour iOS 7.0.6 pour les terminaux iPhone, iPad et iPod. Mais la faille détectée concernerait également les ordinateurs sous Mac OS X 10.9.1, indique ITespresso.fr.

Quels sont les risques selon l’alerte de sécurité d’Apple en date du 21 février ? « Un pirate disposant de droits privilégiés dans un réseau pourrait intercepter ou capturer des données dans des sessions protégées sous SSL/TLS. ». On touche le protocole de référence de sécurisation des échanges sur Internet: comment l’OS reconnaît le certificat numérique exploité par les banques en ligne, Gmail ou Facebook. Bref, tous les services établissant des communications chiffrées.

Sujet sensible car il pourrait favoriser des attaques du type « Man in the middle » (en se plaçant entre l’internaute devant son poste et le serveur d’un éditeur de sites Web, un pirate peut intercepter les échanges). De quoi alimenter les rumeurs d’une porte dérobée destinée à faciliter le travail de cyber espionnage de la NSA.

Bug SSL depuis plusieurs mois

« Nous sommes conscients du problème et nous allons proposer un patch [pour Mac OS X] très prochainement », assurait Trudy Muller, porte-parole d’Apple, dans une déclaration transmise à Reuters le 22 février. « Ce problème est un bug fondamental dans l’intégration SSL vue par Apple », estime Dmitri Alperovitch, Chief Technology Officer de l’éditeur californien de solutions de sécurité IT CrowdStrike, en guise de réaction.

Sur son blog personnel en date du 22 février, Adam Langley, ingénieur Google spécialiste de la sécurité, décortique la faille Goto Fail chez Apple, en considérant qu’il s’agit d’abord d’une erreur de programmation. Mais elle pourrait coûter cher, en sachant que cette vulnérabilité était présente depuis plusieurs mois, estime Reuters.

crédit photo © mkabakov – shutterstock


Voir aussi
Silicon.fr en direct sur les smartphones et tablettes
Silicon.fr fait peau neuve sur iOS