iOS 7.0.6 : la très inquiétante faille de sécurité Apple que révèle la dernière mise à jour pour Iphone

Atlantico : Le vendredi 21 Février, Apple a publié un communiqué annonçant un bug sur les réseaux, touchant le SSL et le TSL. Qu'est-ce que le SSL, et le TSL ? En quoi est-ce problématique s'ils ne sont pas sécurisés ? Quels sont les risques ?

Frédéric Jutant : Le SSL est un certificat de sécurité, qui permet à une connexion http (type transaction bancaire), que la connexion effectuée est sécurisée. On le repère à deux éléments : le cadenas (vert sous Google chrome, par exemple) et le "s" qui vient après le http. Si ces deux éléments sont présents, alors la connexion est sécurisée.

Le certificat SSL protège et crypte les données de l'utilisateur, tant qu'il est activé, vous pouvez vous promener sur n'importe quel site et acheter ce que bon vous semblera. Le signal étant crypté, il est en théorie indéchiffrable, et il n'existe actuellement pas de barrière plus sûre. C'est aujourd'hui la référence universelle en termes de protection des réseaux sur internet.

Mais s'il advenait que le SSL soit brisé, annulé ou inactif, le réseau ne serait plus sécurisé. Les failles permettraient à n'importe qui de lire les données en clair, et donc de récupérer, sans aucune forme de protection, des mots de passe facebook, ou pire, des codes de carte bancaire. Le risque, avec une faille dans le SSL, est énorme : tout le monde est susceptible de pirater tout le monde puisque les données ne sont plus vraiment cachées. Alors, bien sûr, si le SSL n'est pas actif lors d'une simple visite sur le site d'un coiffeur, afin de connaitre ses horaires, les conséquences sont quasi inexistantes. Même pour remplir le formulaire contact, il n'y a rien de particulièrement sensible. En revanche, s'il s'agissait d'un achat sur Amazon, par exemple, il ne serait pas bien compliqué de récupérer tout un tas d'informations sur le compte en banque, dont le code de la carte, les chiffres au dos de celle-ci, etc. Dès lors que le contenu est sensible, il est indispensable de s'assurer que le SSL est bien actif.

Comment les utilisateurs de mac peuvent-ils se protéger ? Quelles sont les possibles solutions pour ne pas se faire pirater ?

Le bug que subissent les utilisateurs de mac est du à ce qu'on appelle en code une condition. En quelques mots, l'ordinateur exécute une commande si les conditions requises sont présentes. Pour faire office de comparaison, dans un raisonnement humain, ce genre de commande pourrait se traduire par "J'irais me promener s'il fait beau." Le choix est binaire : une condition est vraie, l'autre est fausse. A partir de là, je ne sors que s'il fait beau.

Dans les faits, la commande qui a provoqué le bug chez Apple était la suivante : "goto fail". A partir de là, le SSL était brisé et n'importe quel hackeur pouvait donc récupérer les données de n'importe qui.

Il n'existe que peu de moyen de se protéger, en vérité, pour ne pas dire aucun. On peut prendre des précautions, comme éviter les réseaux publics (un réseau privé est sûr, si tant est que votre voisin ne soit pas un pirate), ce qui passe notamment par désactiver la recherche wifi automatique intégrée aux iPhones. Il s'agit également d'éviter au maximum tous les services concernés (et la faille se situant particulièrement haut, ils sont nombreux), tels que Safari ou les Boites Mails intégrés à Apple. Mais tant que la mise à jour, déjà proposée pour iOS n'est pas faite, il n'existe aucune protection vraiment fiable et définitive.

Est-ce un bug spécifique à Apple ? Une situation similaire pourrait-elle se retrouver sous Windows

Il n'existe aucun système sans faille et c'est dès lors, hélas, un problème qui concerne l'ensemble des entreprises du web sur la planète.  Aucun système de protection n'est impénétrable. Google, Facebook, Microsoft, Apple, Yahoo, ou n'importe quelle autre, toutes ont des failles, quand bien même on en parle bien peu. Il y a un moment, déjà, Google avait aussi eu à faire face à une faille de la même catégorie. Il n'y a absolument aucune entreprise qui soit un jour à l'abri de ce genre de soucis technique, quand bien même celui rencontré aujourd'hui par Apple, Man in the Middle,  peut paraître louche tant celui-ci est énorme.

S'il existe bien un point pour se rassurer, c'est que ceux qui savent exploiter ces failles sont bien peu nombreux. Il s'agit de hackeur de haut-vol, vraisemblablement très riches, qu'on ne connait pas. Rappelons-nous le scandale Orange, avec les 800 000 données volées… C'est tout à fait dans leurs cordes, et il n'est pas impensable que l'exploitation d'une faille SSL pourrait avoir de bien plus lourdes conséquences.

Vous parlez d'un bug trop important pour ne pas être louche…?

On peut avoir deux hypothèses. Néanmoins, pour une faille vieille d'au moins plusieurs mois, il est étonnant (et grave) que personne n'ait abordé le sujet auparavant. Ce qui est certain, c'est que la NSA avait connaissance de cette faille ; voire l'a exploitée.

Il est également possible qu'Apple ai fait cet effet d'annonce dans un but commercial : en cherchant à faire peur à ses clients et en les poussant, notamment les propriétaires d'iPhone, à actualiser leur version et ainsi imposer un iOS 7 désormais uniforme aux consommateurs.  Beaucoup d'iPhones dans le monde sont encore sur des versions plus anciennes du logiciel (iOS 6, etc) ce qui provoque de graves soucis de développement, pour les versions à venir. Google, avec Android, rencontre le même problème de variété des anciens systèmes d'exploitation.

C'est une perte de temps, en termes de développement et donc forcément un manque à gagner. Il n'est donc pas impensable, bien que la théorie soit farfelue, qu'Apple ai cherché à pousser le monde entier à actualiser son système d'exploitation… Quand bien même son effet de manche, si tel est le cas (le danger reste bien réel), pourrait lui valoir une dévalorisation en bourse, dans les jours à venir.