Sécurité IT : Apple corrige en douce la faille Heartbleed

CloudMobilitéOS mobiles
apple-faille-heartbleed

La nouvelle version du micrologiciel équipant les bornes Wi-Fi Airport Extreme et Time Capsule de dernière génération (juin 2013) intègre un correctif portant sur la vulnérabilité Heartbleed.

Apple n’est pas totalement épargné par la faille Heartbleed.

La semaine passée, la célèbre firme high-tech assurait qu’aucune de ses solutions n’était touchée par cette vulnérabilité rendue publique le 7 avril dernier*. Elle vient finalement de publier une mise à jour pour ses bornes Wi-Fi de dernière génération, en l’occurrence les Airport Extreme et Time Capsule commercialisées à partir de juin 2013, avec connectivité 802.11ac.

Censé régler des problèmes liés à SSL/TLS, ce nouveau firmware (7.7.3) intègre en fait un correctif portant précisément sur Heartbleed. Apple l’a confirmé aux experts en sécurité qui s’interrogeaient sur la finalité d’un tel update. Seules sont concernées les Airport Extreme et Time sur lesquelles la fonctionnalité d’accès distant Back to my Mac est activée.

Il est recommandé d’appliquer le patch sans délai : quoique la brèche ne met pas en danger les identifiants Apple ID et les mots de passe, elle peut entraîner une attaque de type « man in the middle » par laquelle un tiers accède à l’interface d’administration d’un routeur ou d’un ordinateur pour éventuellement « écouter » le trafic.

Apple en profite pour corriger une autre faille importante concernant la technologie SSL. Ce bug, qui touche iOS 7.1 (et toutes les moutures antérieures) ainsi qu’OS X 10.8.5 « Mountain Lion » et 10.9.2 « Mavericks » peut occasionner un vol de données lors d’une connexion via le protocole dédié Secure Transport

Répertoriée CVE-2014-1295 dans la nomenclature des accidents de sécurité, cette faille a été nommée « Triple Handshake » (triple association) par les experts en sécurité. La raison ? Elle peut être exploitée pour créer deux connexions partageant les mêmes clés de chiffrement et associations. Il suffit alors aux pirates d’insérer des données corrompues et de faire une renégociation pour que les connexions interagissent.

Comme le note Silicon.fr, Apple a résolu le problème en modifiant Secure Transport de sorte que lors de la renégociation, les certificats serveurs présentés soient, par défaut, les mêmes que ceux émis lors de la connexion initiale.

* La faille Heartbleed est ainsi baptisée en référence à l’extension OpenSSL qu’elle affecte : Heartbeats.

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous l’histoire d’Apple ?

Crédit photo : Maksim Kabakou – Shutterstock.com

Lire aussi :