OS X est désormais mieux protégé contre le CRIME, ou plutôt contre les attaques de type Compression Ratio Info-leak Made Easy. C’est l’un des nombreux patches (repéré par Ars Technica) apportés à Moutain Lion, Lion et Snow Leopard par OS X 10.8.4, la mise à jour de sécurité 2013.002 et Safari 6.0.5.

Image (cc) Alan Cleaver.

Les attaques de type CRIME, dévoilées en septembre dernier, mettent à mal la sécurité des sessions HTTPS utilisées notamment lors des paiements en ligne ou de l’authentification à certains services. Elles tirent parti de certaines faiblesses dans la compression TLS ou SPDY, utilisée pour réduire la « consommation » de bande passante, pour déchiffrer les communications chiffrées (SSL/TLS).

La parade est simple, il suffit de désactiver cette compression sur le client ou sur le serveur lorsque le protocole TLS est utilisé : c’est désormais le cas côté Safari. Si vous utilisez des versions récentes de Firefox ou de Chrome, vous n’avez rien à craindre de ce genre d’attaques non plus.

Dans le même domaine, on notera que OS X 10.8.4 refuse d'exécuter les applications Java Web Start qui ne sont pas signées par un Developer ID, à moins d'avoir changé les paramètres par défaut de Gatekeeper ou de le court-circuiter avec le menu Ouvrir avec.