Apple : alerte sur le protocole SSL pour les terminaux iOS et Mac OS X

L’alerte de sécurité est sérieuse pour les utilisateurs d’appareil Apple.

Vendredi, la firme de Cupertino a diffusé un correctif pour iOS 7.0.6 pour les terminaux iPhone, iPad et iPod. Mais la faille détectée concernerait également les ordinateurs sour Mac OS X 10.9.1.

Quels sont les risques selon l’alerte de sécurité d’Apple en date du 21 février ? « Un pirate disposant de droits privilégiés dans un réseau pourrait intercepter ou capturer des données dans des sessions protégées sous SSL/TLS ». On touche le protocole de référence de sécurisation des échanges sur Internet: comment l’OS reconnaît le certificat numérique exploité par les banques en ligne, Gmail ou Facebook. Bref, tous les  services établissant des communications chiffrées.

Sujet sensible car il pourrait favoriser des attaque du type « Man in the middle » (en se plaçant entre l’internaute devant son poste et le serveur d’un éditeur de sites Web, un pirate peut intercepter les échanges). De quoi alimenter les rumeurs d’une porte dérobée destinée à faciliter le travail de cyberespionnage de la NSA ?

« Nous sommes conscients du problème et nous allons proposer un patch [pour Mac OS X] très prochainement », assurait Trudy Muller, porte-parole d’Apple, dans une déclaration transmise à Reuters le 22 février.

« Ce problème est un bug fondamental dans l’intégration SSL vue par Apple », estime Dmitri Alperovitch, Chief Technology Officer de l’éditeur californien de solutions de sécurité IT CrowdStrike, en guise de réaction.

Dans une contribution sur son blog personnel en date du 22 février, Adam Langley, ingénieur Google spécialiste de la sécurité, décortique la faille Goto Fail chez Apple, en considérant qu’il s’agit d’abord d’une erreur de programmation. Mais elle pourrait coûter cher, en sachant que cette faille était présente depuis plusieurs mois, estime Reuters.

Quiz : Hacking, phishing, spamming? La sécurité sur internet n’a pas de secret pour vous ?