En direct
Best of
Best of du 6 au 12 avril 2019
En direct
© Reuters
 Apple a publié un communiqué annonçant un bug sur les réseaux, touchant le SSL et le TSL.
Buggué
iOS 7.0.6 : la très inquiétante faille de sécurité Apple que révèle la dernière mise à jour pour Iphone
Publié le 25 février 2014
Man in the Middle a récemment frappé la majorité des utilisateurs Apple. Le bug est du à une faille SSL, qui permet aux pirates d'accéder facilement aux données normalement protégées. Une faille qui il semblerait ne date pas d'hier.
Frédéric Jutant est un spécialiste du référencement sur le moteurs de recherche pour le compte de l'agence web Kelcible. 
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Fréderic Jutant
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Frédéric Jutant est un spécialiste du référencement sur le moteurs de recherche pour le compte de l'agence web Kelcible. 
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Man in the Middle a récemment frappé la majorité des utilisateurs Apple. Le bug est du à une faille SSL, qui permet aux pirates d'accéder facilement aux données normalement protégées. Une faille qui il semblerait ne date pas d'hier.

Atlantico : Le vendredi 21 Février, Apple a publié un communiqué annonçant un bug sur les réseaux, touchant le SSL et le TSL. Qu'est-ce que le SSL, et le TSL ? En quoi est-ce problématique s'ils ne sont pas sécurisés ? Quels sont les risques ?

Frédéric Jutant : Le SSL est un certificat de sécurité, qui permet à une connexion http (type transaction bancaire), que la connexion effectuée est sécurisée. On le repère à deux éléments : le cadenas (vert sous Google chrome, par exemple) et le "s" qui vient après le http. Si ces deux éléments sont présents, alors la connexion est sécurisée.

Le certificat SSL protège et crypte les données de l'utilisateur, tant qu'il est activé, vous pouvez vous promener sur n'importe quel site et acheter ce que bon vous semblera. Le signal étant crypté, il est en théorie indéchiffrable, et il n'existe actuellement pas de barrière plus sûre. C'est aujourd'hui la référence universelle en termes de protection des réseaux sur internet.

Mais s'il advenait que le SSL soit brisé, annulé ou inactif, le réseau ne serait plus sécurisé. Les failles permettraient à n'importe qui de lire les données en clair, et donc de récupérer, sans aucune forme de protection, des mots de passe facebook, ou pire, des codes de carte bancaire. Le risque, avec une faille dans le SSL, est énorme : tout le monde est susceptible de pirater tout le monde puisque les données ne sont plus vraiment cachées. Alors, bien sûr, si le SSL n'est pas actif lors d'une simple visite sur le site d'un coiffeur, afin de connaitre ses horaires, les conséquences sont quasi inexistantes. Même pour remplir le formulaire contact, il n'y a rien de particulièrement sensible. En revanche, s'il s'agissait d'un achat sur Amazon, par exemple, il ne serait pas bien compliqué de récupérer tout un tas d'informations sur le compte en banque, dont le code de la carte, les chiffres au dos de celle-ci, etc. Dès lors que le contenu est sensible, il est indispensable de s'assurer que le SSL est bien actif.

Comment les utilisateurs de mac peuvent-ils se protéger ? Quelles sont les possibles solutions pour ne pas se faire pirater ?

Le bug que subissent les utilisateurs de mac est du à ce qu'on appelle en code une condition. En quelques mots, l'ordinateur exécute une commande si les conditions requises sont présentes. Pour faire office de comparaison, dans un raisonnement humain, ce genre de commande pourrait se traduire par "J'irais me promener s'il fait beau." Le choix est binaire : une condition est vraie, l'autre est fausse. A partir de là, je ne sors que s'il fait beau.

Dans les faits, la commande qui a provoqué le bug chez Apple était la suivante : "goto fail". A partir de là, le SSL était brisé et n'importe quel hackeur pouvait donc récupérer les données de n'importe qui.

Il n'existe que peu de moyen de se protéger, en vérité, pour ne pas dire aucun. On peut prendre des précautions, comme éviter les réseaux publics (un réseau privé est sûr, si tant est que votre voisin ne soit pas un pirate), ce qui passe notamment par désactiver la recherche wifi automatique intégrée aux iPhones. Il s'agit également d'éviter au maximum tous les services concernés (et la faille se situant particulièrement haut, ils sont nombreux), tels que Safari ou les Boites Mails intégrés à Apple. Mais tant que la mise à jour, déjà proposée pour iOS n'est pas faite, il n'existe aucune protection vraiment fiable et définitive.

Est-ce un bug spécifique à Apple ? Une situation similaire pourrait-elle se retrouver sous Windows

Il n'existe aucun système sans faille et c'est dès lors, hélas, un problème qui concerne l'ensemble des entreprises du web sur la planète.  Aucun système de protection n'est impénétrable. Google, Facebook, Microsoft, Apple, Yahoo, ou n'importe quelle autre, toutes ont des failles, quand bien même on en parle bien peu. Il y a un moment, déjà, Google avait aussi eu à faire face à une faille de la même catégorie. Il n'y a absolument aucune entreprise qui soit un jour à l'abri de ce genre de soucis technique, quand bien même celui rencontré aujourd'hui par Apple, Man in the Middle,  peut paraître louche tant celui-ci est énorme.

S'il existe bien un point pour se rassurer, c'est que ceux qui savent exploiter ces failles sont bien peu nombreux. Il s'agit de hackeur de haut-vol, vraisemblablement très riches, qu'on ne connait pas. Rappelons-nous le scandale Orange, avec les 800 000 données volées… C'est tout à fait dans leurs cordes, et il n'est pas impensable que l'exploitation d'une faille SSL pourrait avoir de bien plus lourdes conséquences.

Vous parlez d'un bug trop important pour ne pas être louche…?

On peut avoir deux hypothèses. Néanmoins, pour une faille vieille d'au moins plusieurs mois, il est étonnant (et grave) que personne n'ait abordé le sujet auparavant. Ce qui est certain, c'est que la NSA avait connaissance de cette faille ; voire l'a exploitée.

Il est également possible qu'Apple ai fait cet effet d'annonce dans un but commercial : en cherchant à faire peur à ses clients et en les poussant, notamment les propriétaires d'iPhone, à actualiser leur version et ainsi imposer un iOS 7 désormais uniforme aux consommateurs.  Beaucoup d'iPhones dans le monde sont encore sur des versions plus anciennes du logiciel (iOS 6, etc) ce qui provoque de graves soucis de développement, pour les versions à venir. Google, avec Android, rencontre le même problème de variété des anciens systèmes d'exploitation.

C'est une perte de temps, en termes de développement et donc forcément un manque à gagner. Il n'est donc pas impensable, bien que la théorie soit farfelue, qu'Apple ai cherché à pousser le monde entier à actualiser son système d'exploitation… Quand bien même son effet de manche, si tel est le cas (le danger reste bien réel), pourrait lui valoir une dévalorisation en bourse, dans les jours à venir.

Les commentaires de cet article sont à lire ci-après
Le sujet vous intéresse ?
Articles populaires
Période :
24 heures
7 jours
01.
Ils reconnaissent l'une des écoles de leur village dans un film porno
02.
Mais pourquoi se poser la question sur l’origine de l’incendie de Notre-Dame classe-t-il automatiquement dans le camp des complotistes ?
03.
Les puissants relais de l'Algérie en France ; Ces amis de Ghosn que tout le monde craignait chez Renault; L'avertissement de Philippe à Castaner; Technip: et un mégagâchis industriel de plus; Notre-Dame partout dans les hebdos, le catholicisme plus rare
04.
Un pognon de dingue pour Notre-Dame de Paris ? Oui, car l'Homme ne vit pas que de pain
05.
Hausse des salaires : Jeff Bezos peut-il révolutionner le capitalisme américain ?
06.
Près d'un milliard d'euros de dons pour Notre-Dame : une occasion en or pour repenser le lien entre sens de la dépense publique et consentement à l'impôt
07.
Le blues des gendarmes de Matignon ne faiblit pas
01.
Notre-Dame de Paris : des dirigeants de l’Unef se moquent de l'incendie
02.
Mais pourquoi se poser la question sur l’origine de l’incendie de Notre-Dame classe-t-il automatiquement dans le camp des complotistes ?
03.
Ce que pèse vraiment le vote musulman dans la balance démocratique française
04.
L’insoutenable légèreté de la majorité LREM ?
05.
Grand Débat : le revenu universel, la mesure qui pourrait produire l’effet whaouh recherché par Emmanuel Macron
06.
Cardinal Robert Sarah : “Ceux qui veulent m’opposer au Pape perdent leur temps et leurs propos ne sont que le paravent qui masque leur propre opposition au Saint-Père”
01.
Après les Gilets jaunes, Notre-Dame : cette France qui se redécouvre des sentiments perdus de vue
02.
Mais pourquoi se poser la question sur l’origine de l’incendie de Notre-Dame classe-t-il automatiquement dans le camp des complotistes ?
03.
Du “Yes We Can” au “Yes I can” : de quelle crise politique le succès phénoménal de Michelle Obama est-il le symptôme ?
04.
Incendie de Notre-Dame : et notre mémoire ancestrale fit irruption dans la post-modernité
05.
Suppression de l’ENA : en marche vers des records de démagogie
06.
Grand Débat : le revenu universel, la mesure qui pourrait produire l’effet whaouh recherché par Emmanuel Macron
Commentaires (3)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
le Gône
- 26/02/2014 - 10:21
@sheldon
et j'ajoute que le plus grave, est que les "groupis" de la marque n'en croient pas un mot !! ce ne sont plus des "consommateurs" mes des Staliniens de cette marque, comme les communistes, tout ce que vous pouvez dire sur leur "dieu numérique"" est imbécile et faux..Ah Nom de Dieu Jobs avait bien raison d'abuser de leur naïveté..et ça continue!!
Bobby
- 25/02/2014 - 16:26
Du grand n'importe quoi
"Man in the Middle a récemment frappé la majorité des utilisateurs Apple" ? C'est n'importe quoi ! Il y a une faille dans les systèmes d'exploitation d'Apple qui permet en théorie une attaque de ce type sur les appareils qui n'ont pas encore fait la dernière mise à jour corrective sur les appareils iOS et ceux qui sont sous OX Mavericks 10.9, tant qu'Apple n'a pas publié de mise à jour .

Toutes les pseudo explications techniques et les hypothèses de la fin sont du grand n'importe quoi, cet "article", écrit par un spécialiste en référencement qui n'a visiblement aucune notion d'informatique ou de sécurité réseau et a recopié de travers des bouts d'articles sans les comprendre est ce que j'ai pu lire de pire depuis longtemps.
quesako
- 25/02/2014 - 15:25
Pas brillant pour Apple !
Ei le plus grave c'est que c'est la marque la plus cher !