Apple a découvert une faille informatique dans ses produits, jugée critique par les experts, et pouvant affecter tous ses appareils, à savoir les smartphones iPhone, les tablettes iPad ainsi que les ordinateurs Mac. Une vulnérabilité au sein de iOS en est la cause.
Apple a sorti vendredi soir une mise à jour de sécurité pour iOS 7, la dernière version de son système d’exploitation mobile iOS , pour mettre fin à cette brèche dans la sécurité. La mise à jour (iOS 7.0.6) est téléchargeable sur les iPhone 4 et suivants, l’iPad 2 et les modèles plus récents, ainsi que le baladeur iPod Touch (5e génération). Il s’agissait en fait de colmater une très importante brèche de sécurité dans la gestion des connexions SSL/TLS.
Un porte-parole du groupe a dit lundi à l’AFP que le groupe était “conscient” que la faille touchait aussi son système d’exploitation pour les ordinateurs Mac, OS X. “Nous sommes conscients de ce problème et avons une mise à jour de réparation qui sera publiée très bientôt”, a-t-il dit.
La dangerosité de la faille a rapidement donné lieu sur les réseaux à une déferlante d’articles et de précisions, le hashtag « #Gotofail » devenant le signal de ralliement. Le chercheur indépendant Ashkan Soltani (qui avait notamment aidé à prouver que les liens envoyés sous Skype étaient surveillés de manière proactive) s’est ainsi étonné sur Twitter qu’Apple ne procède pas systématiquement aux tests qui auraient permis de détecter ce type de comportement. Mais dans le guide de sécurité fourni par l’entreprise, il est demandé que les « données invalides ou inattendues » soient autant testées que les données attendues. Pour Adam Langley, de chez Google, il s’agit d’une erreur d’autant plus grave qu’elle est grossière.
Suite à l’émergence du problème qui touche le code de Safari et affecte la vérification d’authenticité des serveurs, avec les risques que cela comporte, Apple vient de mettre en place un site, Gotofail.com, qui vous permet de tester vos appareils Apple à partir du navigateur Safari. Un autre site non officiel permet aussi de faire le test.
Le géant de l’Internet invite ainsi tous ses utilisateurs à se rendre sur ce site pour vérifier l’état de leur appareil. Une fois le terminal connecté au site, un message apparaîtra pour indiquer si le navigateur est vulnérable ou non. Lorsque c’est le cas, le service indique la marche à suivre pour y remédier afin d’éviter qu’un utilisateur malveillant ne profite de la connexion de votre appareil à un Wifi public, par exemple, pour vous voler des informations sensibles.
En attendant d’être certain d’être protégé de cette faille, mieux vaut éviter de rester connecté à un réseau public. Si celui-ci est peu ou mal protégé, un pirate qui y a accès pourra en effet capter les données que vous transmettez. Chez vous, assurez-vous que votre réseau Wifi est bien sécurisé (WPA 2) ou bien éviter de vous y connecter. L’usage d’un VPN chiffrant la connexion peut aussi aider à se protéger.
Le correctif pour Mac OS X est toujours à venir à ce jour. Bien entendu, tout cela relance fortement les interrogations sur l’espionnage possible de la NSA à travers un tel gouffre de sécurité… Quoi qu’il en soit, il n’existe pour l’instant pas de preuves que la faille a été effectivement exploitée, ni depuis quand elle date.
merci pour l’info
Les commentaires sont fermés.