Apple n’est pas totalement épargné par la faille Heartbleed.
La semaine passée, la célèbre firme high-tech assurait qu’aucune de ses solutions n’était touchée par cette vulnérabilité rendue publique le 7 avril dernier*. Elle vient finalement de publier une mise à jour pour ses bornes Wi-Fi de dernière génération, en l’occurrence les Airport Extreme et Time Capsule commercialisées à partir de juin 2013, avec connectivité 802.11ac.
Censé régler des problèmes liés à SSL/TLS, ce nouveau firmware (7.7.3) intègre en fait un correctif portant précisément sur Heartbleed. Apple l’a confirmé aux experts en sécurité qui s’interrogeaient sur la finalité d’un tel update. Seules sont concernées les Airport Extreme et Time sur lesquelles la fonctionnalité d’accès distant Back to my Mac est activée.
Il est recommandé d’appliquer le patch sans délai : quoique la brèche ne met pas en danger les identifiants Apple ID et les mots de passe, elle peut entraîner une attaque de type « man in the middle » par laquelle un tiers accède à l’interface d’administration d’un routeur ou d’un ordinateur pour éventuellement « écouter » le trafic.
Apple en profite pour corriger une autre faille importante concernant la technologie SSL. Ce bug, qui touche iOS 7.1 (et toutes les moutures antérieures) ainsi qu’OS X 10.8.5 « Mountain Lion » et 10.9.2 « Mavericks » peut occasionner un vol de données lors d’une connexion via le protocole dédié Secure Transport
Répertoriée CVE-2014-1295 dans la nomenclature des accidents de sécurité, cette faille a été nommée « Triple Handshake » (triple association) par les experts en sécurité. La raison ? Elle peut être exploitée pour créer deux connexions partageant les mêmes clés de chiffrement et associations. Il suffit alors aux pirates d’insérer des données corrompues et de faire une renégociation pour que les connexions interagissent.
Comme le note Silicon.fr, Apple a résolu le problème en modifiant Secure Transport de sorte que lors de la renégociation, les certificats serveurs présentés soient, par défaut, les mêmes que ceux émis lors de la connexion initiale.
* La faille Heartbleed est ainsi baptisée en référence à l’extension OpenSSL qu’elle affecte : Heartbeats.
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous l’histoire d’Apple ?
Crédit photo : Maksim Kabakou – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…