En direct
Best of
Best Of
En direct
© Reuters
 Apple a publié un communiqué annonçant un bug sur les réseaux, touchant le SSL et le TSL.
Buggué
iOS 7.0.6 : la très inquiétante faille de sécurité Apple que révèle la dernière mise à jour pour Iphone
Publié le 25 février 2014
Man in the Middle a récemment frappé la majorité des utilisateurs Apple. Le bug est du à une faille SSL, qui permet aux pirates d'accéder facilement aux données normalement protégées. Une faille qui il semblerait ne date pas d'hier.
Frédéric Jutant est un spécialiste du référencement sur le moteurs de recherche pour le compte de l'agence web Kelcible. 
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Fréderic Jutant
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Frédéric Jutant est un spécialiste du référencement sur le moteurs de recherche pour le compte de l'agence web Kelcible. 
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Man in the Middle a récemment frappé la majorité des utilisateurs Apple. Le bug est du à une faille SSL, qui permet aux pirates d'accéder facilement aux données normalement protégées. Une faille qui il semblerait ne date pas d'hier.

Atlantico : Le vendredi 21 Février, Apple a publié un communiqué annonçant un bug sur les réseaux, touchant le SSL et le TSL. Qu'est-ce que le SSL, et le TSL ? En quoi est-ce problématique s'ils ne sont pas sécurisés ? Quels sont les risques ?

Frédéric Jutant : Le SSL est un certificat de sécurité, qui permet à une connexion http (type transaction bancaire), que la connexion effectuée est sécurisée. On le repère à deux éléments : le cadenas (vert sous Google chrome, par exemple) et le "s" qui vient après le http. Si ces deux éléments sont présents, alors la connexion est sécurisée.

Le certificat SSL protège et crypte les données de l'utilisateur, tant qu'il est activé, vous pouvez vous promener sur n'importe quel site et acheter ce que bon vous semblera. Le signal étant crypté, il est en théorie indéchiffrable, et il n'existe actuellement pas de barrière plus sûre. C'est aujourd'hui la référence universelle en termes de protection des réseaux sur internet.

Mais s'il advenait que le SSL soit brisé, annulé ou inactif, le réseau ne serait plus sécurisé. Les failles permettraient à n'importe qui de lire les données en clair, et donc de récupérer, sans aucune forme de protection, des mots de passe facebook, ou pire, des codes de carte bancaire. Le risque, avec une faille dans le SSL, est énorme : tout le monde est susceptible de pirater tout le monde puisque les données ne sont plus vraiment cachées. Alors, bien sûr, si le SSL n'est pas actif lors d'une simple visite sur le site d'un coiffeur, afin de connaitre ses horaires, les conséquences sont quasi inexistantes. Même pour remplir le formulaire contact, il n'y a rien de particulièrement sensible. En revanche, s'il s'agissait d'un achat sur Amazon, par exemple, il ne serait pas bien compliqué de récupérer tout un tas d'informations sur le compte en banque, dont le code de la carte, les chiffres au dos de celle-ci, etc. Dès lors que le contenu est sensible, il est indispensable de s'assurer que le SSL est bien actif.

Comment les utilisateurs de mac peuvent-ils se protéger ? Quelles sont les possibles solutions pour ne pas se faire pirater ?

Le bug que subissent les utilisateurs de mac est du à ce qu'on appelle en code une condition. En quelques mots, l'ordinateur exécute une commande si les conditions requises sont présentes. Pour faire office de comparaison, dans un raisonnement humain, ce genre de commande pourrait se traduire par "J'irais me promener s'il fait beau." Le choix est binaire : une condition est vraie, l'autre est fausse. A partir de là, je ne sors que s'il fait beau.

Dans les faits, la commande qui a provoqué le bug chez Apple était la suivante : "goto fail". A partir de là, le SSL était brisé et n'importe quel hackeur pouvait donc récupérer les données de n'importe qui.

Il n'existe que peu de moyen de se protéger, en vérité, pour ne pas dire aucun. On peut prendre des précautions, comme éviter les réseaux publics (un réseau privé est sûr, si tant est que votre voisin ne soit pas un pirate), ce qui passe notamment par désactiver la recherche wifi automatique intégrée aux iPhones. Il s'agit également d'éviter au maximum tous les services concernés (et la faille se situant particulièrement haut, ils sont nombreux), tels que Safari ou les Boites Mails intégrés à Apple. Mais tant que la mise à jour, déjà proposée pour iOS n'est pas faite, il n'existe aucune protection vraiment fiable et définitive.

Est-ce un bug spécifique à Apple ? Une situation similaire pourrait-elle se retrouver sous Windows

Il n'existe aucun système sans faille et c'est dès lors, hélas, un problème qui concerne l'ensemble des entreprises du web sur la planète.  Aucun système de protection n'est impénétrable. Google, Facebook, Microsoft, Apple, Yahoo, ou n'importe quelle autre, toutes ont des failles, quand bien même on en parle bien peu. Il y a un moment, déjà, Google avait aussi eu à faire face à une faille de la même catégorie. Il n'y a absolument aucune entreprise qui soit un jour à l'abri de ce genre de soucis technique, quand bien même celui rencontré aujourd'hui par Apple, Man in the Middle,  peut paraître louche tant celui-ci est énorme.

S'il existe bien un point pour se rassurer, c'est que ceux qui savent exploiter ces failles sont bien peu nombreux. Il s'agit de hackeur de haut-vol, vraisemblablement très riches, qu'on ne connait pas. Rappelons-nous le scandale Orange, avec les 800 000 données volées… C'est tout à fait dans leurs cordes, et il n'est pas impensable que l'exploitation d'une faille SSL pourrait avoir de bien plus lourdes conséquences.

Vous parlez d'un bug trop important pour ne pas être louche…?

On peut avoir deux hypothèses. Néanmoins, pour une faille vieille d'au moins plusieurs mois, il est étonnant (et grave) que personne n'ait abordé le sujet auparavant. Ce qui est certain, c'est que la NSA avait connaissance de cette faille ; voire l'a exploitée.

Il est également possible qu'Apple ai fait cet effet d'annonce dans un but commercial : en cherchant à faire peur à ses clients et en les poussant, notamment les propriétaires d'iPhone, à actualiser leur version et ainsi imposer un iOS 7 désormais uniforme aux consommateurs.  Beaucoup d'iPhones dans le monde sont encore sur des versions plus anciennes du logiciel (iOS 6, etc) ce qui provoque de graves soucis de développement, pour les versions à venir. Google, avec Android, rencontre le même problème de variété des anciens systèmes d'exploitation.

C'est une perte de temps, en termes de développement et donc forcément un manque à gagner. Il n'est donc pas impensable, bien que la théorie soit farfelue, qu'Apple ai cherché à pousser le monde entier à actualiser son système d'exploitation… Quand bien même son effet de manche, si tel est le cas (le danger reste bien réel), pourrait lui valoir une dévalorisation en bourse, dans les jours à venir.

Les commentaires de cet article sont à lire ci-après
Le sujet vous intéresse ?
Articles populaires
Période :
24 heures
7 jours
01.
Cette bombe politique qui se cache dans les sondages sur la remontée de LREM et l’essoufflement des Gilets jaunes
02.
5 indicateurs de la (faible) culture démocratique du gouvernement
03.
Auto-positionnement politique des Français : le sondage qui montre l’ampleur de la crise existentielle vécue par la droite
04.
Gilets jaunes : les états-majors des grandes entreprises imaginent trois scénarios de sortie de crise possibles
05.
Au tableau : Christophe Castaner mal à l’aise après une question d’un élève
06.
Votre mémoire pourra-t-elle être piratée dans le futur ? La réponse est plus inquiétante que vous ne le croyez
07.
Alain Finkelkraut étrille Marlène Schiappa après ses propos sur la Manif pour tous
01.
Cette bombe politique qui se cache dans les sondages sur la remontée de LREM et l’essoufflement des Gilets jaunes
02.
Comment Alain Juppé s’est transformé en l’un des plus grands fossoyeurs de la droite
03.
Statistiques du ministère de l’intérieur : Christophe Castaner ou l’imagination au pouvoir
04.
Etat providence, immigration et Gilets jaunes : l’étude américaine explosive qui révèle la nature du dilemme politique français
05.
5 indicateurs de la (faible) culture démocratique du gouvernement
06.
Le mystérieux contrat de 7,2 millions d'euros décroché par Alexandre Benalla
01.
Agression contre Finkielkraut : certains Gilets jaunes voudraient que les Juifs portent l'étoile jaune
02.
Auto-positionnement politique des Français : le sondage qui montre l’ampleur de la crise existentielle vécue par la droite
03.
Ces lourdes erreurs politiques qui fragilisent la lutte contre l’antisémitisme
04.
Comment Alain Juppé s’est transformé en l’un des plus grands fossoyeurs de la droite
05.
Antisémitisme: voilà pourquoi je n'irai pas manifester le 19 février
06.
Derrière les faits divers dans les Ehpad, la maltraitance que l’ensemble de la société française inflige à ses vieux
Commentaires (3)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
le Gône
- 26/02/2014 - 10:21
@sheldon
et j'ajoute que le plus grave, est que les "groupis" de la marque n'en croient pas un mot !! ce ne sont plus des "consommateurs" mes des Staliniens de cette marque, comme les communistes, tout ce que vous pouvez dire sur leur "dieu numérique"" est imbécile et faux..Ah Nom de Dieu Jobs avait bien raison d'abuser de leur naïveté..et ça continue!!
Bobby
- 25/02/2014 - 16:26
Du grand n'importe quoi
"Man in the Middle a récemment frappé la majorité des utilisateurs Apple" ? C'est n'importe quoi ! Il y a une faille dans les systèmes d'exploitation d'Apple qui permet en théorie une attaque de ce type sur les appareils qui n'ont pas encore fait la dernière mise à jour corrective sur les appareils iOS et ceux qui sont sous OX Mavericks 10.9, tant qu'Apple n'a pas publié de mise à jour .

Toutes les pseudo explications techniques et les hypothèses de la fin sont du grand n'importe quoi, cet "article", écrit par un spécialiste en référencement qui n'a visiblement aucune notion d'informatique ou de sécurité réseau et a recopié de travers des bouts d'articles sans les comprendre est ce que j'ai pu lire de pire depuis longtemps.
quesako
- 25/02/2014 - 15:25
Pas brillant pour Apple !
Ei le plus grave c'est que c'est la marque la plus cher !