Grave faille de sécurité chez Apple… mais pas d’alerte

culture geek

Par Elodie le

La firme de Cupertino a découvert une faille de sécurité jugée importante par les experts et touchant l’ensemble de ses appareils, du téléphone aux tablettes en passant par les ordinateurs. Néanmoins, elle ne communique pas sur le caractère urgent des mises à jour à faire pour pallier cette faille.

Apple_faille_sécurité_MàJ

Dès vendredi soir, Apple a sorti une mise à jour de sécurité pour iOS 7 (iOS 7.0.6) afin de remédier au problème sans plus de précisions ou de mises en garde que celles fournies dans la fiche accompagnatrice. Apple précise simplement qu’« un attaquant ayant une position privilégiée dans un réseau peut capturer ou modifier des données » même lors d’une connexion censée être sécurisée.

La mise à jour est disponible pour les iPhone 4, iPad 2 et iPod Touch et tous modèles qui ont suivis depuis. L’AFP précise qu’un porte-parole de la compagnie leur a avoué être « conscient » que la faille s’étendait également au système d’exploitation des ordinateurs Mac, OS X (mise à jour 10.9.2 d’OS X Mavericks): « Nous sommes conscients de ce problème et avons une mise à jour de réparation qui sera publiée très bientôt ».

Par ailleurs, la société de sécurité Crowdstrike délivre les tenants et aboutissants de cette faille de sécurité sans entrer dans les détails « pour ne pas faciliter la vie des pirates ». Ainsi, elle explique sur son blog comment l’attaque fonctionne :

Pour réussir l’attaque l’adversaire doit être capable d’intercepter les connexions réseau (Man-in-The-Middle), ce qui peut être fait si elles sont présentes sur le même réseau filaire ou sans fil que la victime. En raison d’une faille d’authentification sur les plateformes iOS et OS X, un pirate peut contourner les vérifications SSL / TLS habituelles de la connexion initiale. Cela permet à un adversaire de se faire passer pour un site de confiance, comme votre messagerie Web favorite et d’intercepter toutes les communications cryptées entre vous et le serveur de destination, et lui donne la possibilité de modifier les données en transit (comme prendre le contrôle de votre système)

C’est pourquoi, Crowdstrike encourage vivement les utilisateurs à faire les mises à jour « le plus vite possible » et de « ne pas utiliser de réseaux à la sécurité non garantie (spécialement wifi) lors de ses déplacements ».
Sentiment que partage le site 247wallst.com pour qui « c’est plutôt une grosse affaire ». Et s’étonne que « la mise à jour ne donne aucun sens de l’urgence à installer le patch ». « Disons que l’attaquant a accès au même réseau via une connexion non sécurisée dans un café ou un restaurant. Il pourrait se faire passer pour un site protégé comme Facebook ou Gmail et altérer n’importe quelle donnée transmise entre l’iPhone et le site. » De quoi s’interroger sur « l’approche discrète » d’Apple « étant donné la gravité des dommages potentiels ».

Mais la firme de Cupertino sait sans doute ce qu’elle fait…

Source: Source