Le 21 février, Apple a publié iOS 7.0.6, une petite mise à jour logicielle qui a fourni "un correctif pour la vérification de la connexion SSL". Le même correctif SSL a également été publié pour les anciens appareils iOS 6 et l'Apple TV. Apple propose de temps en temps de petites corrections de bugs, donc à première vue, la version 7.0.6 semblait être une mise à jour assez normale.
Mais en réalité, Apple a corrigé un faille de sécurité majeure qui a potentiellement compromis les données de millions de personnes pendant des années. Surnommé "gotofail", le bogue est passé sous le radar depuis un certain temps et n'a toujours pas été corrigé dans OS X.
Gotofail a prétendument été présent depuis l'introduction d'iOS 6, et les implications sont assez graves. Jusqu'à présent, les appareils iOS utilisant Internet via une connexion SSL étaient vulnérables aux pirates informatiques interceptant leurs données, ou aux attaques «man-in-the-middle».
Fondamentalement, le bogue permet au trafic Web sécurisé sur SSL/TLS d'être détourné par quelqu'un d'autre sur le même réseau. C'est un processus relativement simple pour toute personne connaissant la faille.
La société de sécurité FouleGrève explique :
En raison d'une faille dans la logique d'authentification sur les plateformes iOS et OS X, un attaquant peut contourner les routines de vérification SSL/TLS lors de la poignée de main de connexion initiale. Cela permet à un adversaire de se faire passer pour un point de terminaison distant de confiance, tel que votre fournisseur de messagerie Web préféré et d'effectuer une interception complète des données chiffrées. trafic entre vous et le serveur de destination, ainsi que leur donner la possibilité de modifier les données en vol (comme livrer des exploits pour prendre le contrôle de votre système).
Gotofail est limité aux applications et services Apple, comme Safari et Messages. Les navigateurs tiers comme Chrome devraient donc convenir.
De nombreuses parties d'OS X sont toujours vulnérables, y compris le mécanisme de mise à jour logicielle d'Apple.
Voici quelques-unes des applications qui reposent sur la vulnérabilité d'Apple #gotofail Bibliothèque SSL au-delà de Safari /cc @a_greenbergpic.twitter.com/ombDOOa01A
– ashkan soltani (@ashk4n) 23 février 2014
D'autres pirates informatiques bien connus ont exprimé leur inquiétude face aux découvertes :
Il ne faut aucune expertise iOS pour que les méchants abusent du bogue SSL qu'Apple vient de corriger. Beaucoup plus peuvent exploiter (pour le mal) un bogue SSL qu'un bogue iOS normal
– MuscleNerd (@MuscleNerd) 22 février 2014
Personnes sur les réseaux wifi publics (Sotchi ?), veuillez ne pas utiliser votre appareil iOS s'il n'est pas mis à jour vers iOS 7.0.6. N'utilisez pas votre Mac Book. - pod2g (@pod2g) 22 février 2014
Oui, la sécurité d'iOS < 7.0.6 est maintenant si mauvaise que je conseille à tout le monde de mettre à jour rapidement. - pod2g (@pod2g) 22 février 2014
Pas difficile à comprendre: HTTPS ne fonctionne pas sur OSX et iOS < 7.0.6. Vos mots de passe et crédits de carte de crédit peuvent être interceptés sur les réseaux.
- pod2g (@pod2g) 22 février 2014
Même les banques contactent leurs clients et leur conseillent de passer immédiatement à iOS 7.0.6. "Vous devez installer cette mise à jour dès que possible pour vous assurer que vos informations sont aussi sûres que possible", a averti la banque en ligne uniquement. Simple dans un e-mail aux clients hier.
Ce qui est peut-être le plus alarmant dans tout cela, c'est la théorie avancée par John Gruber de Daring Fireball. Gotofail a été introduit avec la sortie d'iOS 6 en septembre 2012, et Apple a été ajouté au programme d'espionnage « PRISM » de la NSA en octobre 2012.
Une fois en place, la NSA n'aurait même pas eu besoin de trouver le bogue en lisant manuellement le code source. Tout ce dont ils auraient besoin, ce sont des tests automatisés utilisant des certificats falsifiés qu'ils exécutent sur chaque nouvelle version de chaque système d'exploitation. Apple lance iOS, les tests automatisés de certificats frauduleux de la NSA trouvent la vulnérabilité, et boom, Apple est "ajouté" à PRISM.
Ou, peut-être rien, et tout cela n'est qu'une coïncidence.
Apple a publié une déclaration hier soir, par Reuters, disant qu'il était au courant du même bogue SSL qui existe toujours sous OS X. Un correctif sera publié prochainement :
Apple Inc a annoncé samedi qu'il publierait une mise à jour logicielle "très bientôt" pour empêcher les espions et les pirates de récupérer des e-mails, des informations financières et d'autres données sensibles à partir d'ordinateurs Mac.
Confirmant les conclusions des chercheurs vendredi soir qu'une faille de sécurité majeure dans les iPhones et iPads apparaît également dans les ordinateurs portables et de bureau en cours d'exécution Mac OS X, la porte-parole d'Apple, Trudy Muller, a déclaré à Reuters: « Nous sommes conscients de ce problème et avons déjà un correctif logiciel qui sera publié très bientôt."
