En direct
Best of
Best of du 6 au 12 juillet
En direct
© Reuters
 Apple a publié un communiqué annonçant un bug sur les réseaux, touchant le SSL et le TSL.
Buggué

iOS 7.0.6 : la très inquiétante faille de sécurité Apple que révèle la dernière mise à jour pour Iphone

Publié le 25 février 2014
Man in the Middle a récemment frappé la majorité des utilisateurs Apple. Le bug est du à une faille SSL, qui permet aux pirates d'accéder facilement aux données normalement protégées. Une faille qui il semblerait ne date pas d'hier.
Frédéric Jutant est un spécialiste du référencement sur le moteurs de recherche pour le compte de l'agence web Kelcible. 
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Fréderic Jutant
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Frédéric Jutant est un spécialiste du référencement sur le moteurs de recherche pour le compte de l'agence web Kelcible. 
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Man in the Middle a récemment frappé la majorité des utilisateurs Apple. Le bug est du à une faille SSL, qui permet aux pirates d'accéder facilement aux données normalement protégées. Une faille qui il semblerait ne date pas d'hier.

Atlantico : Le vendredi 21 Février, Apple a publié un communiqué annonçant un bug sur les réseaux, touchant le SSL et le TSL. Qu'est-ce que le SSL, et le TSL ? En quoi est-ce problématique s'ils ne sont pas sécurisés ? Quels sont les risques ?

Frédéric Jutant : Le SSL est un certificat de sécurité, qui permet à une connexion http (type transaction bancaire), que la connexion effectuée est sécurisée. On le repère à deux éléments : le cadenas (vert sous Google chrome, par exemple) et le "s" qui vient après le http. Si ces deux éléments sont présents, alors la connexion est sécurisée.

Le certificat SSL protège et crypte les données de l'utilisateur, tant qu'il est activé, vous pouvez vous promener sur n'importe quel site et acheter ce que bon vous semblera. Le signal étant crypté, il est en théorie indéchiffrable, et il n'existe actuellement pas de barrière plus sûre. C'est aujourd'hui la référence universelle en termes de protection des réseaux sur internet.

Mais s'il advenait que le SSL soit brisé, annulé ou inactif, le réseau ne serait plus sécurisé. Les failles permettraient à n'importe qui de lire les données en clair, et donc de récupérer, sans aucune forme de protection, des mots de passe facebook, ou pire, des codes de carte bancaire. Le risque, avec une faille dans le SSL, est énorme : tout le monde est susceptible de pirater tout le monde puisque les données ne sont plus vraiment cachées. Alors, bien sûr, si le SSL n'est pas actif lors d'une simple visite sur le site d'un coiffeur, afin de connaitre ses horaires, les conséquences sont quasi inexistantes. Même pour remplir le formulaire contact, il n'y a rien de particulièrement sensible. En revanche, s'il s'agissait d'un achat sur Amazon, par exemple, il ne serait pas bien compliqué de récupérer tout un tas d'informations sur le compte en banque, dont le code de la carte, les chiffres au dos de celle-ci, etc. Dès lors que le contenu est sensible, il est indispensable de s'assurer que le SSL est bien actif.

Comment les utilisateurs de mac peuvent-ils se protéger ? Quelles sont les possibles solutions pour ne pas se faire pirater ?

Le bug que subissent les utilisateurs de mac est du à ce qu'on appelle en code une condition. En quelques mots, l'ordinateur exécute une commande si les conditions requises sont présentes. Pour faire office de comparaison, dans un raisonnement humain, ce genre de commande pourrait se traduire par "J'irais me promener s'il fait beau." Le choix est binaire : une condition est vraie, l'autre est fausse. A partir de là, je ne sors que s'il fait beau.

Dans les faits, la commande qui a provoqué le bug chez Apple était la suivante : "goto fail". A partir de là, le SSL était brisé et n'importe quel hackeur pouvait donc récupérer les données de n'importe qui.

Il n'existe que peu de moyen de se protéger, en vérité, pour ne pas dire aucun. On peut prendre des précautions, comme éviter les réseaux publics (un réseau privé est sûr, si tant est que votre voisin ne soit pas un pirate), ce qui passe notamment par désactiver la recherche wifi automatique intégrée aux iPhones. Il s'agit également d'éviter au maximum tous les services concernés (et la faille se situant particulièrement haut, ils sont nombreux), tels que Safari ou les Boites Mails intégrés à Apple. Mais tant que la mise à jour, déjà proposée pour iOS n'est pas faite, il n'existe aucune protection vraiment fiable et définitive.

Est-ce un bug spécifique à Apple ? Une situation similaire pourrait-elle se retrouver sous Windows

Il n'existe aucun système sans faille et c'est dès lors, hélas, un problème qui concerne l'ensemble des entreprises du web sur la planète.  Aucun système de protection n'est impénétrable. Google, Facebook, Microsoft, Apple, Yahoo, ou n'importe quelle autre, toutes ont des failles, quand bien même on en parle bien peu. Il y a un moment, déjà, Google avait aussi eu à faire face à une faille de la même catégorie. Il n'y a absolument aucune entreprise qui soit un jour à l'abri de ce genre de soucis technique, quand bien même celui rencontré aujourd'hui par Apple, Man in the Middle,  peut paraître louche tant celui-ci est énorme.

S'il existe bien un point pour se rassurer, c'est que ceux qui savent exploiter ces failles sont bien peu nombreux. Il s'agit de hackeur de haut-vol, vraisemblablement très riches, qu'on ne connait pas. Rappelons-nous le scandale Orange, avec les 800 000 données volées… C'est tout à fait dans leurs cordes, et il n'est pas impensable que l'exploitation d'une faille SSL pourrait avoir de bien plus lourdes conséquences.

Vous parlez d'un bug trop important pour ne pas être louche…?

On peut avoir deux hypothèses. Néanmoins, pour une faille vieille d'au moins plusieurs mois, il est étonnant (et grave) que personne n'ait abordé le sujet auparavant. Ce qui est certain, c'est que la NSA avait connaissance de cette faille ; voire l'a exploitée.

Il est également possible qu'Apple ai fait cet effet d'annonce dans un but commercial : en cherchant à faire peur à ses clients et en les poussant, notamment les propriétaires d'iPhone, à actualiser leur version et ainsi imposer un iOS 7 désormais uniforme aux consommateurs.  Beaucoup d'iPhones dans le monde sont encore sur des versions plus anciennes du logiciel (iOS 6, etc) ce qui provoque de graves soucis de développement, pour les versions à venir. Google, avec Android, rencontre le même problème de variété des anciens systèmes d'exploitation.

C'est une perte de temps, en termes de développement et donc forcément un manque à gagner. Il n'est donc pas impensable, bien que la théorie soit farfelue, qu'Apple ai cherché à pousser le monde entier à actualiser son système d'exploitation… Quand bien même son effet de manche, si tel est le cas (le danger reste bien réel), pourrait lui valoir une dévalorisation en bourse, dans les jours à venir.

Les commentaires de cet article sont à lire ci-après
Le sujet vous intéresse ?
Articles populaires
Période :
24 heures
7 jours
01.

Auriez vous le brevet des collèges ou... signé une pétition car les épreuves étaient trop difficiles ?

02.

La dangereuse complaisance du planning familial avec l’islam radical

03.

Démence sénile : une nouvelle étude montre qu’il est possible d’agir même en cas d’antécédents familiaux lourds

04.

Intégration sensible : le cas particulier des immigrés d’origine algérienne ou turque

05.

François de Rugy, le bouc émissaire dont la mise à mort inquiète le monde de l’entreprise

06.

La fête est finie : les constructeurs automobiles obligés de tirer les leçons de la baisse importante de leurs ventes

07.

Safari des gérants du Super U : pourquoi leur cas est bien plus défendable qu’il n’y paraît d’un point de vue environnemental

01.

Céline Dion envoie DEUX stylistes à l’hosto; Nabilla veut de grandes études pour son bébé; Elizabeth II recueille une milliardaire en fuite; Laeticia Hallyday humiliée à Saint-Tropez; Cyril Hanouna achète à Miami, François H. & Julie Gayet à Montsouris

02.

Immigration : quand la vérité des chiffres émerge peu à peu

03.

Auriez vous le brevet des collèges ou... signé une pétition car les épreuves étaient trop difficiles ?

04.

Ces cinq erreurs de politiques publiques qui coûtent incomparablement plus cher à la France que quelques dîners au luxe malvenu

05.

Safari des gérants du Super U : pourquoi leur cas est bien plus défendable qu’il n’y paraît d’un point de vue environnemental

06.

Ces 6 questions que soulèvent les révélations sur François de Rugy et qui en disent long sur le niveau de dysfonctionnement politique et économique de notre pays

01.

Greta Thunberg à l’Assemblée nationale : le révélateur de la faiblesse des écologistes politiques ?

02.

Immigration : quand la vérité des chiffres émerge peu à peu

03.

Ces cinq erreurs de politiques publiques qui coûtent incomparablement plus cher à la France que quelques dîners au luxe malvenu

04.

Chasse aux comportements indécents : ce que la France a à gagner … et à perdre dans sa quête grandissante de vertu

05.

Et toute honte bue, François de Rugy limogea sa chef de cabinet…

06.

François de Rugy, le bouc émissaire dont la mise à mort inquiète le monde de l’entreprise

Commentaires (3)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
le Gône
- 26/02/2014 - 10:21
@sheldon
et j'ajoute que le plus grave, est que les "groupis" de la marque n'en croient pas un mot !! ce ne sont plus des "consommateurs" mes des Staliniens de cette marque, comme les communistes, tout ce que vous pouvez dire sur leur "dieu numérique"" est imbécile et faux..Ah Nom de Dieu Jobs avait bien raison d'abuser de leur naïveté..et ça continue!!
Bobby
- 25/02/2014 - 16:26
Du grand n'importe quoi
"Man in the Middle a récemment frappé la majorité des utilisateurs Apple" ? C'est n'importe quoi ! Il y a une faille dans les systèmes d'exploitation d'Apple qui permet en théorie une attaque de ce type sur les appareils qui n'ont pas encore fait la dernière mise à jour corrective sur les appareils iOS et ceux qui sont sous OX Mavericks 10.9, tant qu'Apple n'a pas publié de mise à jour .

Toutes les pseudo explications techniques et les hypothèses de la fin sont du grand n'importe quoi, cet "article", écrit par un spécialiste en référencement qui n'a visiblement aucune notion d'informatique ou de sécurité réseau et a recopié de travers des bouts d'articles sans les comprendre est ce que j'ai pu lire de pire depuis longtemps.
quesako
- 25/02/2014 - 15:25
Pas brillant pour Apple !
Ei le plus grave c'est que c'est la marque la plus cher !