Goto fail : après iOS, Apple bouche enfin la faille SSL sur OS X

Apple

Par Olivier le

Les utilisateurs de Mac sous OS X Mavericks sont invités à télécharger, séance tenante, la mise à jour OS X 10.9.2 disponible depuis hier soir. Celle-ci comble une faille de sécurité maousse costaud qu’Apple a tout de même mis plusieurs jours à corriger.

apple_article_2

Cette faille SSL, aussi connue sous le sobriquet goto fail, était présente sous iOS depuis la version 6, et sous Mavericks depuis le lancement du système d’exploitation de bureau en octobre dernier. La vulnérabilité a été bouchée vendredi soir sur mobiles, par l’entremise d’iOS 6.1.6 et iOS 7.0.6. La polémique reste d’ailleurs vive pour savoir si ça n’est pas par cet intermédiaire que la NSA et autres oreilles fort indiscrètes du gouvernement américain se sont infiltrées afin de récupérer les données personnelles de millions d’utilisateurs d’iPhone…

Apple a reconnu que cette faille était aussi présente au sein d’OS X et avait annoncé qu’OS X 10.9.2 allait résoudre le problème, ce qui est fait depuis hier soir. La société spécialisée dans la sécurité Crowdstrike avait expliqué que pour réussir à pénétrer dans le terminal visé (appareil iOS ou Mac), le hacker pouvait mettre à profit la « faille d’authentification sur les plateformes iOS et OS X », qui permet de « contourner les vérifications SSL / TLS habituelles de la connexion initiale ». Une fois maquillé en site de confiance (Gmail, Facebook, etc.), il lui est ensuite possible de subtiliser toutes les communications chiffrées entre la victime et le serveur de destination.

On pourra regretter l’absence presque totale d’avertissement de la part d’Apple, à qui on peut reprocher non seulement le silence, mais aussi un certain amateurisme : de ce qu’on en comprend, cette faille était relativement simple à débusquer et à corriger.