Pourquoi la récente faille de sécurité d’Apple est si effrayante

Pirate

Ce vendredi, Apple a discrètement publié une mise à jour, expliquant brièvement dans un communiqué qu'il s'agissait de corriger un bug "un pirate jouissant d'une position de réseau privilégié peut saisir ou modifier les données des sessions protégées en SSL / TLS." C'est la version sobre. En d'autres termes ? Mettez à jour votre iPhone là, maintenant.

Oh, et ​​en passant, OS X a les mêmes problèmes, sauf qu’il y a pas de solution libérée. Reste que si vous avez compris l’intégralité du communiqué, vous avez dû être le premier à faire la mise à jour. Sinon, voici ce que cela signifie pour vous et vos appareils Apple.

Qu’est ce que le protocole SSL ?

SSL signifie “Secure Sockets Layer”, c’est ce qui permet de s’assurer que la communication entre votre navigateur et les serveurs de vos sites préférés reste privée et sécurisée. Transport Layer Security est également un protocole qui fait fondamentalement la même chose mais il est plus récent.

En bref, SSL/TLS est une clé cryptographique qui permet au navigateur et au serveur de savoir mutuellement qui ils sont et s’ils peuvent ou non travailler main dans la main. Concrètement, c’est une poignée de main numérique secrète qui maintient vos informations financières en sécurité lorsque vous effectuez un paiement.

Tout ceci se passe en arrière plan, votre seule interaction directe avec les protocoles SSL/TLS se déroule lorsque vous remarquez l’icône de cadenas dans la barre de navigation, celle qui vous indique que votre accès en ligne est parfaitement privé et sécurisé.

Le bug d’Apple, qui encore une fois, a été patché dans iOS mais pas encore sous Mac OS X, signifie que Safari ou l’une des autres applications concernées, ne peut pas réellement savoir avec certitude si les serveurs avec qui il communique sont bien ce qu’ils prétendent être. Donc, tout ce que vous transmettez sur le web est vulnérable à l’attaque dite de “l’homme du milieu”. Késako ?

L’attaque de l’homme du milieu

Plus couramment appelée HDM, il s’agit d’écoute technologique où chaque communication est interceptée entre votre navigateur et un site. Gmail. Facebook. Transactions financières. Tout peut être lu en temps réel, par un parfait inconnu. Promptement résumé.

schéma

 

Logiquement, nos protocoles SSL et TLS sont censés déjouer ce type d’attaques, il est délicat d’obtenir les clefs chiffrées des deux parties en étant au milieu, ou au moins, rendre l’obtention trop difficile pour en valoir la peine.

Mais ce bug d’Apple permet de permet de passer outre d’une façon douloureusement simple. L’attaquant doit se situer dans une “position privilégiée du réseau” ? C’est un réseau public. Cela signifie simplement qu’il est dans le même Starbucks que vous. Et ceci traîne depuis septembre. Septembre 2012.

Est-ce grave ?

Si vous êtes toujours vous gratter la tête pour saisir ce que tout cela signifie et à quel point cette nouvelle est mauvaise, la façon la plus simple est d’observer la réaction des développeurs. Ils ne veulent pas en parler ouvertement, de peur de donner plus d’armes aux pirates. En résumant simplement : N’UTILISEZ PAS SAFARI.

Maintenant, relativisons les choses, votre réseau domestique est protégé par mot de passe, de toute évidence, il n’y a pas de hacker qui se cache dans chaque café, et vos renseignements personnels ne sont pas aussi intéressant que vous le pensez. De plus, si vous avez fait la mise à jour, vous pouvez respirer.

Ce qui est troublant, c’est que cela dure depuis un an et demi. Sachant qu’il a été largement diffusé et que le bug n’est encore fixé pour les MacBook, il vaut la peine de prendre quelques onces de précaution supplémentaires

Comment est-ce arrivé ?

Personne ne sait, et Apple ne va certainement pas s’expliquer. Adam Langley de Google a détaillé les spécificités de la bête dans son blog personnel, si vous cherchez à regarder un peu de code. Fondamentalement, il s’agit d’une simple ligne supplémentaire sur plus de 2000.

Un “goto fail” semble avoir été répété par inadvertance, ce qui empêche les applications de vérifier correctement la signature lors du crucial échange des clés. Si bien que même si elles ne correspondent pas, un tiers des communications vont passer. Les pirates n’ont qu’à s’interposer. Entre ce bug et le programme PRISM de la NSA, les liens ne sont pas anodins.

Le premier goto fail a été livré avec iOS 6.0, qui a filtré un mois avant qu’Apple ne soit ajouté au programme d’espionnage. Personne n’ose dire qu’Apple a intentionnellement intégré cette erreur, toutefois elle a pu être exploitée par la NSA secrètement.

Que faire ?

Patchez votre appareil mobile.  Si vous avez un iPhone 3GS ou un vieux iPod touch, vous pouvez télécharger iOS 6.1.6 à la place. Jusqu’à présent, cependant, vous n’avez pas de chance si vous êtes sur Mac OS X. La vulnérabilité est toujours là et largement diffusée.

La meilleure option reste de passer par Chrome ou Firefox et de rester sur des réseaux sécurisés. Si cela ne vous est pas possible, pas d’info financière, aucune transaction, aucun détail personnel. C’est une bonne règle de base en général, mais il s’agit de VRAIMENT l’appliquer aujourd’hui.

Tags :
Dernières Questions sur UberGizmo Help
  1. Article écrit avec les fesses, comme d’habitude. Mais c’est un peu pour ça qu’on vient sur Gizmodo, pour cracher sur les articles…

    Ce commentaire a reçu trop de votes négatifs. Cliquez ici pour voir le message.
  2. Mais WTF, quand ont connais pas ont parle pas putin.
    Si quelque utilise le termes de ” L’attaque de l’homme du milieu” ou HDM faut qu’il me contacte psk la serieux …
    L’attaque s’apelle Man In The Middle (MITM)… Dès que l’article aborde des parties techniques il est complétement OUT …

    Ce commentaire a reçu trop de votes négatifs. Cliquez ici pour voir le message.
    1. Les 2 terme sont utilisés, la c’est à toi de te renseigner, HDM, MITM c’est la même chose. Il rame peut-être un peu sur côté technique mais l’article est compréhensible pour tout le monde au moins.

  3. Certes il existe pas de hacker dans chaque coin de rue, mais pour les pros c’est une très grave faille…
    Apple tente de minimiser comme le fait Gizmodo alors que c’est pas le cas…

  4. Florence. S’il te plaît. Arrêté de parler de tout ce qui touche de prêt ou de loin a la sécurité. C’est un vrai métier et il en ressort à chaque fois que tu n’as pas les bases nécessaires et du coup toute tentatives de vulgarisation de ta part devient un charabia incompréhensible pour le novice.

    Ce commentaire a reçu trop de votes négatifs. Cliquez ici pour voir le message.
  5. En réalité tout les appareils sont touchés (pas que ceux d’Apple) et cette faille ne pourra jamais être comble car c’est un faille protocole lié au principe même du wifi.
    Les méthodes d’ARP spoofing ont donc un très fort potentiel, et les seules méthodes pour vous protéger, c’est un VPN, ou un ids,… Ou alors ne pas se connecter au wifi public 😉
    Il existe même des applications sur android pour espionner, voler les passoire, troller, pirater et couper le wifi aux autres personnes connectes au même wifi que vous.
    Je vend tout ça pour seulement 2€ paypal pour ceux que ça intéresse: maboiteafric@hotmail.fr

    Ce commentaire a reçu trop de votes négatifs. Cliquez ici pour voir le message.
  6. i4ppleTouch -> heu lol, juste ferme la comme on dit.

    t´es encore plus a l’ouest que la Flo, et c’est pas facile. Alors au moins pour vendre ta merde essaie de ne pas débiter 4 conneries par ligne :)

    Cordialement bisous

  7. De toute manière un bon hacker trouvera toujours une faille quel que soit les protections !! Encore beaucoup de bruit pour rien !!!

    Ce commentaire a reçu trop de votes négatifs. Cliquez ici pour voir le message.
  8. Waouh il paraît que apple avait inventé l empreinte digitale pour la sécurité d ailleurs qui s est fait pirater au bout d une semaine bon un iphone à part siri et l écran y a rien même les applications seraient malwares bof non

  9. Je ferai la mise à jour mais il n’y aucun risque.
    Personne n’est sur mon réseau personnel, ma box est sécurisée et je ne vois l’intérêt de capter mes informations.
    Mais bon, on va combler la faille au cas où même si mon ordi a plus de chance d’être frappé par la foudre ou écrasé par un astéroïde que d’être piraté.

  10. @Hjjh: c’est qui ne connait pas de quoi tu parle…
    Je le fais donc je peux t’assurer que ça marche, après ça peut te paraitre aberrant mais c’est réel.
    Bref si tu veux plus d’info contact moi a mon adresse mail maboiteafric@hotmail.fr
    (Elle paraît bidon mais c’est pour être anonyme)
    Je te passerai même une de ces applique gratis pour que tu voi que j’ai raison
    Cordialement

  11. Mais un petit peut lol quand même la.

    Non sérieux. Tous, faites comme il dit avec son “applique” magique anonyme vendue sur hotmail.

    Ce magnifique troll script kiddien vous apporte la vérité.

    ‘Tain mec si tu connaissais mon métier et la nombre de mecs dans ton genre qui nous on lancé des défis a la hauteur de tes capacités et qui ont fini en larmes en même pas 10 minutes. Tu retournerais fissa réviser tes maths pour commencer (d’ici 5/6 ans hein) a appréhender les bases des communications numériques, de la cryptographie, et de l’algorithmique.

    Après peut être que je pourrai te prendre en stage de découverte :)

    Cordialement. Bisous.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Publicité