Passer au contenu

Grave faille de sécurité chez Apple… mais pas d’alerte

La firme de Cupertino a découvert une faille de sécurité jugée importante par les experts et touchant l’ensemble de ses appareils, du téléphone aux tablettes en…

La firme de Cupertino a découvert une faille de sécurité jugée importante par les experts et touchant l’ensemble de ses appareils, du téléphone aux tablettes en passant par les ordinateurs. Néanmoins, elle ne communique pas sur le caractère urgent des mises à jour à faire pour pallier cette faille.

Apple_faille_sécurité_MàJ

Dès vendredi soir, Apple a sorti une mise à jour de sécurité pour iOS 7 (iOS 7.0.6) afin de remédier au problème sans plus de précisions ou de mises en garde que celles fournies dans la fiche accompagnatrice. Apple précise simplement qu’« un attaquant ayant une position privilégiée dans un réseau peut capturer ou modifier des données » même lors d’une connexion censée être sécurisée.

La mise à jour est disponible pour les iPhone 4, iPad 2 et iPod Touch et tous modèles qui ont suivis depuis. L’AFP précise qu’un porte-parole de la compagnie leur a avoué être « conscient » que la faille s’étendait également au système d’exploitation des ordinateurs Mac, OS X (mise à jour 10.9.2 d’OS X Mavericks): « Nous sommes conscients de ce problème et avons une mise à jour de réparation qui sera publiée très bientôt ».

Par ailleurs, la société de sécurité Crowdstrike délivre les tenants et aboutissants de cette faille de sécurité sans entrer dans les détails « pour ne pas faciliter la vie des pirates ». Ainsi, elle explique sur son blog comment l’attaque fonctionne :

Pour réussir l’attaque l’adversaire doit être capable d’intercepter les connexions réseau (Man-in-The-Middle), ce qui peut être fait si elles sont présentes sur le même réseau filaire ou sans fil que la victime. En raison d’une faille d’authentification sur les plateformes iOS et OS X, un pirate peut contourner les vérifications SSL / TLS habituelles de la connexion initiale. Cela permet à un adversaire de se faire passer pour un site de confiance, comme votre messagerie Web favorite et d’intercepter toutes les communications cryptées entre vous et le serveur de destination, et lui donne la possibilité de modifier les données en transit (comme prendre le contrôle de votre système)

C’est pourquoi, Crowdstrike encourage vivement les utilisateurs à faire les mises à jour « le plus vite possible » et de « ne pas utiliser de réseaux à la sécurité non garantie (spécialement wifi) lors de ses déplacements ».
Sentiment que partage le site 247wallst.com pour qui « c’est plutôt une grosse affaire ». Et s’étonne que « la mise à jour ne donne aucun sens de l’urgence à installer le patch ». « Disons que l’attaquant a accès au même réseau via une connexion non sécurisée dans un café ou un restaurant. Il pourrait se faire passer pour un site protégé comme Facebook ou Gmail et altérer n’importe quelle donnée transmise entre l’iPhone et le site. » De quoi s’interroger sur « l’approche discrète » d’Apple « étant donné la gravité des dommages potentiels ».

Mais la firme de Cupertino sait sans doute ce qu’elle fait…

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

37 commentaires
  1. “Mais la firme de Cupertino sait sans doute ce qu’elle fait…”

    Oui comme toutes les failles depuis la naissance d’OSX, elle cache la merde au chat.

  2. @eric : En même temps quel est l’intérêt de crier sur tous les toits que son système a une faille ?
    Ça reviendrait en gros au même que de clamer haut et fort “allez les gars, j’me barre en vacances à l’étranger pendant 2 semaines et je laisse les portes de chez moi ouvertes !”
    Non… vaut mieux encore se barrer en douce et juste filer la clef au voisin de confiance.
    Faut pas croire, des failles de sécurité, y en a sûrement énormément qui sont corrigées à notre insu à chaque mise à jour de tel ou tel système (Apple ou pas, osef, j’suis pas là pour troller moi). Et y en a aussi un paquet qui ne sont sûrement jamais découvertes et donc corrigées 🙂

  3. @Wakkai : Cette faille est présente depuis “plusieurs mois” (selon les sources que j’ai citées). C’est une énorme faille, dans un système vendu sans (enfin… d’après le discours marketing). Système qui, jusque récemment, était également vendu sans virus…
    Chez Microsoft ou Google, il y a des concours pour révéler des failles, et les corriger au plus vite. Des récompenses sont même offertes. Pas chez apple, ce serait un aveu d’échec que d’avouer que leur système est comme les autres : susceptible de contenir des failles.
    Le plus surprenant est qu’apple a commencé à communiquer dessus le 21 février…

    Maintenant, on peut se poser une question : pourquoi apple à décidé de communiquer sur ce point ? En mettant en place le correctif sur la version 7.xx d’ios ou je-sais-plus-laquelle sur OS/X, ils peuvent ainsi “forcer” les utilisateurs à passer sur la dernière version. Sur ios, la version 7 n’aurait été adoptée, en janvier, que par 76% des utilisateurs… Du coup, communiquer sur l’importance de cette faille (qui existe depuis longtemps, il leur faut peut-être plusieurs mois pour corriger un “simple” GOTO FAIL 😀 ), afin de forcer un maximum de personnes à franchir le pas vers ios7 et la dernière mouture OS/X, et ainsi réduire la fragmentation, qui coûte cher en développement, en temps, et donc un manque à gagner…

  4. @wakkai

    Mais Apple mets a jour aussi très / trop tardivement leurs failles !
    Certaines après être dévoilées sont restées minimum 6 mois.. super sérieux….

    @plaf

    je parle de Flash, donc de la période qui suivait la sortie de l’iPhone et l’iPad ou Jobs était encore là.

  5. Quand on voit à quel point la faille est étrange, c’est difficile de croire en la bonne foi d’Apple sur ce coup…

  6. Quand on voir à quel point cette faille est bizarre, il est difficile de croire en la bonne foi d’Apple sur ce coup…

  7. Je suis d’accord, d’une part la communication d’Apple est désastreuse concernant cette vulnérabilité plus que critique, mitmproxy étant déjà à jour pour exploiter la vuln, d’autre part, on se demande comment se fait-il que, 4 jours après divulgation de la vulnérabilité, on reste dans l’attente d’une MàJ pour Mavericks…

    Tout ça pour sortir la 10.9.2 en même temps que le correctif alors qu’une MàJ d’urgence aurait dû être déployée samedi avec le correctif de sécurité uniquement, sans les avancées de la 10.9.2…

    Bref, tout ça pour dire que la gestion des risques chez Apple est inadmissible, ils devraient employer des consultants ISO 27005.

  8. De quoi réveiller un peu les Apple haters qui croient que les appareils Apple sont menacés…
    Pensez à mettre vos antivirus et autres conneries à jour sur les PC windowsés et attendez le dernier bug de Touchwiz sur les Samsung en plastique.

  9. Bah, Apple a toujours été long à la détente en ce qui concerne les failles, c’est pas nouveau.

    Par contre, là ou je suis un peu plus perplexe, c’est que si cette faille de sécurité existe depuis si longtemps et est (apparemment) si importante et si facile à exploiter, comment se fait il qu’on ait pas encore entendu des gens se plaindre de s’être fait piraté leur données? Pourquoi n’avons nous pas de chiffres de personnes ayant subit des attaques?

    Après tout, vu le parc d’appareil sous IOS et vu le déni total d’Apple, ça a laissé quand même la porte ouverte à tous les hackers du monde entier pour faire ce qu’ils veulent en toute impunité non? A moins d’avoir loupé un épisode, une faille de sécurité importante existant depuis longtemps aurait déjà dû avoir fait pas mal de victimes non? Parce que, dans l’article posté par Omen77, je cite:

    “The problem is, Apple’s SSL bug has now become so visible in the media and so thoroughly explained, that even a low level hackers with little proficiency could get access to all your private information as long as you remain unpatched and using a public Wi-Fi network.” —> en gros, ne rien dire aide à ne pas se faire hacker et apparemment même mon voisin de 6 ans pourrait faire ce hack. Bah, j’attend toujours un nombre précis de victimes…

    Soit la faille n’est pas si facile à exploiter que l’on dit et donc le risque est minimal. Dans ce cas, ce n’est qu’une faille de sécurité comme tant d’autres et non une GRAVE faille de sécurité. Soit les hackers sont blasés car ils n’ont même plus à bosser une minimum pour exploiter une faille et donc ils ne font rien ce dont je doute fortement.

  10. Petru
    25 fév, 2014, 15:36 #18
    De quoi réveiller un peu les Apple haters qui croient que les appareils Apple sont menacés…
    Pensez à mettre vos antivirus et autres conneries à jour sur les PC windowsés et attendez le dernier bug de Touchwiz sur les Samsung en plastique.***
    ***

    Y a pas encore eu de troll anti appel que le petit fan boys se défend d’avoir claqué sa paye dans la toute dernière brique d’appel…. LOL quoi !

  11. Ben moi j’ai pas fermé la porte de ma caisse, attend, je passe un appel dans toute la ville, haut-parleur toussa voila, on sais jamais si un gentil gars voulais la surveiller … hum.

  12. @Torontonian Ce n’est pas parce qu’une faille existe depuis longtemps qu’elle est exploitée depuis longtemps. Le public disclosure date de samedi matin, et en 4 jours, la plupart des professionnels savent comme l’exploiter et un outil est dispo pour les script-kiddies. C’est une faille assez critique puisqu’elle permet, à un attaquant sur le même LAN qu’une victime de déchiffrer la totalité du trafic SSL/TLS pour les applications comme Safari, Mail ou Messages.

  13. “Grave faille de sécurité chez Apple… mais pas d’alerte” il y a que moi qui trouve le titre dénudé de sens ? Parce que écrire “Grave faille” et “pas d’alerte” dans la même phrase faut être fort, peut-être que l’article a été écris avec une pomme dans le derrière, enfaite comme c’est écris par Elodie c’est peut-être des pommes :).

    ps: Sympa l’image avec Ashton Kutcher

  14. @ omen77

    “C’est une énorme faille, dans un système vendu sans”

    Apple n’a jamais prétendu que son système est sans failles.

    “Système qui, jusque récemment, était également vendu sans virus”

    Ce qui est toujours vrai. Un virus n’est pas un malware, un spyware, ou un trojan.

    “Chez Microsoft ou Google, il y a des concours pour révéler des failles, et les corriger au plus vite. Des récompenses sont même offertes. Pas chez apple, ce serait un aveu d’échec que d’avouer que leur système est comme les autres : susceptible de contenir des failles.”

    Renseignes-toi, il y en a.

    “Maintenant, on peut se poser une question : pourquoi apple à décidé de communiquer sur ce point ?”

    Parce qu’on lui a demandé ? Petit rappel des faits :

    – Faille comblée avec la récente mise à jour de iOS7 et iOS6
    – On découvre qu’elle existe aussi sur Mavericks
    – On demande à Apple si elle sera corrigée
    – Apple répond “oui”

    “Sur ios, la version 7 n’aurait été adoptée, en janvier, que par 76% des utilisateurs”

    Que ? QUE ? Tu connais le taux d’adoption de Android KitKat ? Tu connais quel a été le taux d’adoption de iOS 6 ? Donc petite mise au point, iOS 7 connait un taux d’adoption bien plus important que iOS 6, ou n’importe quelle version de Android.

    “Du coup, communiquer sur l’importance de cette faille (qui existe depuis longtemps, il leur faut peut-être plusieurs mois pour corriger un « simple » GOTO FAIL 😀 ”

    C’est un peu plus compliqué que ça. Cette faille provient d’un composant open-source, le SecureTransport, ce qui signifie que les lignes de codes ont été produites par des centaines de développeurs différents. Donc il s’agit vraisemblablement d’une grossière erreur humaine, même si on peut reprocher à Apple (ou un autre développeur) de ne pas l’avoir repéré plus tôt.

    “afin de forcer un maximum de personnes à franchir le pas vers ios7 et la dernière mouture OS/X, et ainsi réduire la fragmentation, qui coûte cher en développement, en temps, et donc un manque à gagner…”

    Encore une fois, ce que tu dis est ridicule. La faille n’est pas présente dans Mountain Lion, donc en quoi ne pas combler ce trou inciterait les utilisateurs à migrer vers Mavericks ? Réfléchis un peu deux secondes, tu dis de la merde, comme d’habitude…

  15. @Naoy:

    C’est bien ce que je dis… La faille existe depuis longtemps mais n’a jamais occasionnée aucune attaque. Aussi “grave” soit elle, elle existe et personne ne l’a exploitée. Ensuite, certains se demandent pourquoi Apple n’en a pas parlé avant… ben tu as ta réponse dans ton post: c’est rendu public depuis peu et donc maintenant tout le monde flippe! Alors que personne n’aurait rien dit, ça serait passé inaperçu et personne n’aurait rien risqué (et ça vaut pour toutes les failles).

    Ce que je veux dire, c’est qu’une faille existante, exploitable, non patché depuis un moment, en général elle est vite exploitée par les hackers qui s’y connaissent un tant soit peu. Les hackers n’attendent pas le communiqué de presse pour ce dire “chouette, j’ai matté cette faille depuis 5 ans et je peux enfin l’exploitée”. Ce n’est pas aussi simple que ça.

    Donc il faut garder une certaine mesure. Oui il faut patcher cette faille (pour les utilisateurs IOS, m’en fout j’ai pas d’Iphone/Ipad/Ipod). Si cette faille est potentiellement “grande”, elle n’a aucune répercussion aujourd’hui. De la à la qualifiée de “Grave”, faut pas abusé. Je rappelle encore une fois que si personne n’avait rien dit, cette “ÉNORME” faille de sécurité n’aurait ptet jamais été entendu nul part. Apple ne l’a pas encore patché, et c’est clairement une erreur de leur part, mais en même temps même sans la patcher, rien ne se passe. Tu suis le raisonnement?

    La, d’un coup, tous les troll Apple rappliquent en venant nous dire que ça existe depuis 3 plombes alors que ça fait que qq jours qu’on en parle. Les trolls viennent faire la leçon alors que… rien ne s’est passé encore! En effet, bashons Apple de ne pas avoir remédier à une faille qui n’a POUR LE MOMENT aucune conséquence. (ce raisonnement vaut pour toutes les entreprises et tous les fanboys sans cervelles)

  16. Vous n’avez pas d’arguments valables, que croyez vous que les autres éditeurs d’OS font ? Tout ça pour vous permettre de vous détendre en crachant sur Apple, comme d’habitude…

  17. @Orion “« Sur ios, la version 7 n’aurait été adoptée, en janvier, que par 76% des utilisateurs »

    Que ? QUE ? Tu connais le taux d’adoption de Android KitKat ? Tu connais quel a été le taux d’adoption de iOS 6 ? Donc petite mise au point, iOS 7 connait un taux d’adoption bien plus important que iOS 6, ou n’importe quelle version de Android.”

    Tu sembles avoir réponse à tout sauf que des fois il vaut mieux s’abstenir.
    Encore heureux qu’ IOS7 soit plus adopté que Kit Kat quand on connait la politique de mise à jour quasi forcée que Cupertino a mis en place sur l’Iphone.
    http://www.20min.ch/ro/multimedia/stories/story/14031591
    Pour en revenir à la faille, ça remets les esprits en place. Certes les produits Apple sont d’excellente qualité mais sont au même niveau que les autres …cad pas exempt de défaut 😉

  18. “la politique de mise à jour quasi forcée”

    Encore raté…tu peux dire “non” hein, mais ça doit être encore trop compliqué pour certains.

  19. Orion , dans le lien que j’ai indiqué (Si tu as pris la peine de le lire) , la question t’es demandé à chaque redémarrage. Et le tout en gardant la mise à jour d’1Go récupérée sans ton accord bien au chaud dans ta mémoire(Alors que le message indique Télécharger et Installer).

    On peut trouver plein de points positifs à Apple et à sa politique mais pas ici Orion.

  20. de toute façon, pour faire des mises à jour correctives sur les produits Apple, il y a jamais urgence ! Apple préfère faire des mises à jour sur l’esthétique des applis, c’est plus important

Les commentaires sont fermés.

Mode