Passer au contenu

Goto fail : après iOS, Apple bouche enfin la faille SSL sur OS X

Les utilisateurs de Mac sous OS X Mavericks sont invités à télécharger, séance tenante, la mise à jour OS X 10.9.2 disponible depuis hier soir. Celle-ci…

Les utilisateurs de Mac sous OS X Mavericks sont invités à télécharger, séance tenante, la mise à jour OS X 10.9.2 disponible depuis hier soir. Celle-ci comble une faille de sécurité maousse costaud qu’Apple a tout de même mis plusieurs jours à corriger.

apple_article_2

Cette faille SSL, aussi connue sous le sobriquet goto fail, était présente sous iOS depuis la version 6, et sous Mavericks depuis le lancement du système d’exploitation de bureau en octobre dernier. La vulnérabilité a été bouchée vendredi soir sur mobiles, par l’entremise d’iOS 6.1.6 et iOS 7.0.6. La polémique reste d’ailleurs vive pour savoir si ça n’est pas par cet intermédiaire que la NSA et autres oreilles fort indiscrètes du gouvernement américain se sont infiltrées afin de récupérer les données personnelles de millions d’utilisateurs d’iPhone…

Apple a reconnu que cette faille était aussi présente au sein d’OS X et avait annoncé qu’OS X 10.9.2 allait résoudre le problème, ce qui est fait depuis hier soir. La société spécialisée dans la sécurité Crowdstrike avait expliqué que pour réussir à pénétrer dans le terminal visé (appareil iOS ou Mac), le hacker pouvait mettre à profit la « faille d’authentification sur les plateformes iOS et OS X », qui permet de « contourner les vérifications SSL / TLS habituelles de la connexion initiale ». Une fois maquillé en site de confiance (Gmail, Facebook, etc.), il lui est ensuite possible de subtiliser toutes les communications chiffrées entre la victime et le serveur de destination.

On pourra regretter l’absence presque totale d’avertissement de la part d’Apple, à qui on peut reprocher non seulement le silence, mais aussi un certain amateurisme : de ce qu’on en comprend, cette faille était relativement simple à débusquer et à corriger.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

29 commentaires
  1. Je ne sais pas si la mise à jour a changé quelque chose pour les Mac, mais pour les iPhones il se passe quelque chose : tout mon parc d’iPhone vient de perdre l’appareil photo.

    Est-ce en rapport avec cette faille ?

  2. La grande nouveaute du salon de Barcelone est en réalite l’ arme anti NSA /Mossad developpée par une PME française ( cocorico ) ! Fleur Pellerin ne s y trompe pas en allant voir une démonstration du systeme SQUARE chez Vivaction !
    Ce systeme permet d encrypter et d etre en reseau VPN totalement privé et en BOYD avec vos telephones tablettes et ordis actuellement utilisé ! donc pas de surcout de matos .. et un bras d honneur á tous les dirigeants de la planete qui vous espionnent avec vos impots !
    CA C EST UNE REVOLUTION !!! ;o))

  3. @Bertrouf C’est un Parc pro? J’espère que c’est pas pour des experts en assurance ou autre, ou l’apn est important .

  4. Oui c’est un parc pro, non l’APN n’est pas capital et on peut s’en passer plusieurs jours, mais j’aimerai savoir d’où ça vient ! Suis-je seul dans ce cas ?

    Surtout que ça a disparu de tout le monde en même temps, iOS7 comme iOS6, et sans màj… Un virus ?

  5. “de ce qu’on en comprend, cette faille était relativement simple à débusquer et à corriger”

    Alors vous n’avez rien compris….On parle d’un composant open-source, écrit par des centaines de développeurs. Donc “facile à débusquer”, je ne crois pas. Facile à corriger, oui, mais en quoi le temps mis pour la corriger à un rapport avec “la difficulté” ? Apple voulait certainement faire une pierre deux coups avec OSX 10.9.2, il ne faut pas chercher plus loin que ça…

  6. L’icône a disparu, et lorsque j’utilise une autre application, par exemple GroupShot ou Snap Clap, j’ai un message qui indique qu’il n’y a pas d’appareil photo sur cet appareil.

    J’ai tenté un reset du home screen, redémarrages… rien !

  7. @Orion : … On parle quand même de plusieurs mois pour corriger UNE ligne de code. Potentiellement, n’importe qui peut s’être fait intercepter des données. Faire d’une pierre deux coups ? Non, les correctifs sont arrivés à quasiment une semaine d’écart.
    SSL, un composant “open source” ?
    “Le SSL est un certificat de sécurité, qui permet à une connexion http (type transaction bancaire), que la connexion effectuée est sécurisée. On le repère à deux éléments : le cadenas (vert sous Google chrome, par exemple) et le “s” qui vient après le http. Si ces deux éléments sont présents, alors la connexion est sécurisée.
    Read more at http://www.atlantico.fr/decryptage/ios-706-tres-inquietante-faille-securite-apple-que-revele-derniere-mise-jour-pour-iphone-frederic-jutant-992414.html#GuTlPpJjKj63Gf3Z.99

    Et comme l’a souligné Eric, de magnifiques Keyloggers, passés au travers du soit-disant infaillible (pour reprendre les termes de certains) système de validation d’apple.

    @Bertrouf : As-tu tenté le retour en config d’origine ?

  8. Je plussoie Orion, le ton suffisant de l’article est juste lamentable. “Apple a tout de même mis plusieurs jours à corriger” Plusieurs jours ? Houlala quel délai de malade, toutes ces machines hackées ! Ah… non.
    Apple a rapidement réagi et fait son taf (on les a connus BEAUCOUP moins réactifs), ils n’ont pas communiqué spécialement là-dessus : ouais comme d’habitude…

  9. @ omen77

    “On parle quand même de plusieurs mois pour corriger UNE ligne de code. Potentiellement, n’importe qui peut s’être fait intercepter des données.”

    Sauf qu’on ne sait pas quand cette faille a été réellement découverte. Il y a 4 jours, avant que Apple ne publie un patch pour iOS, personne n’était au courant.

    “Non, les correctifs sont arrivés à quasiment une semaine d’écart.”

    Non, je parle uniquement de OSX. La version 10.9.2 a été en bêta depuis plusieurs semaines, donc Apple a simplement attendu qu’elle soit prête pour inclure le patch pour la faille SSL en même temps…D’où le “une pierre deux coups”.

    “SSL, un composant « open source » ?”

    SSL, non, mais le composant SecureTransport, qui est l’implémentation de SSL dans OSX, clairement oui. Comme dirait l’autre, do your research…

    “Et comme l’a souligné Eric, de magnifiques Keyloggers, passés au travers du soit-disant infaillible (pour reprendre les termes de certains) système de validation d’apple.”

    On parle d’une application, créée par des chercheurs, pour mettre en évidence un problème avec l’API qui permet aux applications de fonctionner en arrière-plan. Certes, c’est un peu con qu’elle soit passée à travers les mailles du filet, mais quelque part, c’est aussi une bonne chose. La firme de sécurité FireEye a déjà indiquée être en discussion avec Apple à ce sujet…

  10. @Bertrouf Pour que ça impacte ton parc indifféremment de la version de l’OS , il doit y avoir un point commun. Et effectivement la mise à jour iOS 7.0.6 et iOS 6.1.6 me semble un bon point de départ pour commencer. Faudrait vérifier si c’est installé sur les tel incriminés et si sur un non mis à jour ru rencontres le même soucis

    Les tels sont Jailbreaké?

  11. Notre seul point commun, à part ce correctif Apple, est notre serveur Exchange. Puisqu’apparement je suis seul à avoir ce bug (c’était ma question initiale), je vais aller voir si notre administrateur n’a pas fait un changement de config malheureux, à tout hasard…

    Exchange + Camera + iPhone renvoie des résultats prometteurs sur Google.

    Merci pour ton aide, Error32.

  12. @Bertrouf Oui vois avec lui mais je pense pas que ça puisse impacter sur la gestion d’un périphérique.
    Ayant moi même la gestion d’un serveur Exchange dans ma boite, je vois pas ce qui pourrait impacter sur l’apn.
    Le conseil d’Omen de réinitialiser tous les réglages est une bonne idée.ça semble avoir réglé le même soucis pour certains Iphone4 ayant migré sous IOS7

  13. @Bertrouf N’ayant pas de device mobile , je me suis jamais posé la question mais effectivement, on peut gérer une partie des restriction matériel de l’iphone via Exchange. je me coucherai moins bête ce soir.
    C’est bien que tu ai résolu ton pb

  14. @Orion : Au temps pour moi, ce “bout de code” est open source. En plus, je l’ai lu hier et ça m’a même étonné qu’il y ait de l’open source chez apple 😀

    http://opensource.apple.com/source/Security/Security-55471/libsecurity_ssl/lib/sslKeyExchange.c

    Mais cette faille date de plusieurs mois. Apple n’est pas connu pour communiquer en masse sur les problèmes de sécurité, et certains en ont fait les frais (Charlie Miller en 2011, pour avoir trouvé et reporté une faille Safari qui permettait l’exécution d’un code non autorisé (cf InstaStock, validé par le store). Il fut viré de la communauté des devs).

  15. j’aimes bien le “enfin” dans le titre … alors qu’on apprend que cela n’a pris que “quelques jours”. Certains correctifs prenaient 6 mois (voir plus) à une époque chez eux donc là, “quelques jours”, ça va

  16. @ omen77

    “Mais cette faille date de plusieurs mois.”

    Qu’elle date de plusieurs mois, c’est une chose. Mais pour autant, il est impossible de savoir depuis quand Apple est au courant.

    “Apple n’est pas connu pour communiquer en masse sur les problèmes de sécurité”

    C’est vrai, mais est-ce pour autant une mauvaise chose ?

    “Il fut viré de la communauté des devs”

    Son cas fut un peu plus compliqué que ça. Les développeurs signent une charte, qui les obligent à remonter les problèmes à Apple et à ne pas les divulguer aux yeux du public, et il est allé à l’encontre de cette recommandation. M’enfin bref, ça s’est bien terminé étant donné qu’il a été réintégré…

    @ shooby

    Fais attention, on croirait presque que tu défends Apple. Ce n’est pas dans ton habitude ^^

  17. @Orion :
    http://www.linformaticien.com/actualites/id/32220/faille-ios-une-mise-a-jour-et-beaucoup-de-questions.aspx

    “Adam Langley, développeur chez Google, s’étonne sur son blog que Apple fasse preuve d’autant de laxisme sur des produits aussi sensibles. « Un test aurait détecté cette erreur, mais difficilement car elle est profondément enfouie dans le code » commente-t-il. « La vérification de code peut être efficace contre ce genre de bug. Pas seulement l’audit, mais aussi l’examen complet de chaque changement lorsqu’il survient ».”
    et
    “Certains estiment qu’elle existe depuis la sortie d’iOS 6 en septembre 2012. Coïncidence troublante, deux mois après, la NSA se lançait dans la récupération de données chez Apple (selon les documents d’Edward Snowden sur Prism)”

  18. @Orion : “C’est vrai, mais est-ce pour autant une mauvaise chose ?”
    C’est une mauvaise chose quand ça concerne Microsoft ou Google (je te suggère d’aller voir des commentaires sur les news adéquates)… 2 poids 2 mesures ?

  19. comme d’hab quoi : pour un applefan un problème chez android / ms sera la cata du siècle alors que le même problème chez apple, oua, pas grave, il y a pire dans la vie

  20. @Shooby02470:
    “comme d’hab quoi : pour un applefan un problème chez android / ms sera la cata du siècle alors que le même problème chez apple, oua, pas grave, il y a pire dans la vie”

    Un peu comme les pro Android qui ont envahis l’article hier pour venir basher Apple et qui défendent Samsung/Android quand ça arrive de leur côté? Hopital qui se fout de la charité? 😉

  21. “C’est une mauvaise chose quand ça concerne Microsoft ou Google (je te suggère d’aller voir des commentaires sur les news adéquates)… 2 poids 2 mesures ?”

    Ce que je voulais dire, c’est qu’une absence de communication ne signifie pas une absence de réaction. Parfois, ne pas rendre une faille de sécurité publique permet d’éviter qu’elle soit justement utilisée.

    “Certains estiment qu’elle existe depuis la sortie d’iOS 6 en septembre 2012”

    Ils estiment…donc ils en savent rien.

    “Pas seulement l’audit, mais aussi l’examen complet de chaque changement lorsqu’il survient”

    C’est pareil, c’est un peu plus compliqué que ça. Je ne peux pas t’expliquer comme ça dans un commentaire, ça serait trop long. Mais pour un composant open-source dont le développement est fait par des centaines de personne, il existe des systèmes de reporting qui automatisent le processus. Sauf que ça arrive que ça merde et que ça produise des erreurs dans le code.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Mode