Les apps touchées par la faille SSL

Christophe Laporte |

Comme nous l’expliquions dans notre papier consacré à la faille SSL, celle-ci ne concerne pas uniquement Mail et Safari. Elle touche de nombreuses applications.

Un chercheur en sécurité, Ashkan Soltani, s’est amusé à lister quelques applications répandues qui ont recours à SSL. Dans les applications livrées avec le système, on trouve Calendrier, FaceTime, iBooks, Keynote, Twitter, iMessage, le système de push ou encore le VPN du système. Ce rapport est très très loin d’être exhaustif, mais donne une idée du grand nombre d’angles d’attaque qu’ont les hackers pour exploiter cette faille.

Notez que certaines apps comme iMessage et FaceTime possèdent des dispositifs de sécurité supplémentaires qui rendent éventuellement cette faille un peu moins dangereuse. Même le mécanisme de mise à jour intégré au système est concerné, la connexion avec les serveurs d’Apple étant chiffrée.

Tags
avatar whocancatchme | 

J'ai eu une mise à jour iOs ce matin concernant les failles SSL

avatar Gaeko | 

Du coup, pour les apps tierces, il faut attendre une mise à jour ou cela se règle avec iOS 7.0.6 ?

avatar Siilver777 | 

Là, on parle d'OS X. Sur iOS, la version 7.0.6 règle tous les problèmes oui.

avatar Siilver777 | 

Y'a un moyen d'utiliser la faille de manière totalement innocente pour vérifier si la faille est bien là ? Ayant la dernière bêta d'OS X 10.9.2, le problème est peut-être déjà réglé ici…

avatar MrFloyd | 

@Siilver777 :
Sur l'article d'hier il y a une URL qui fait le diagnostic.

avatar r e m y | 

Il semble que cette faille existe depuis l'origine de MacOS X....

Apple l'a corrigée sur iOS 6 et 7.

Je me demande sur quelles versions de MacOS ils vont proposer le patch de sécurité pour la combler...
Seulement Mavericks?
Mavericks et MountainLion?
Mavericks, MountainLion et Lion?
Jusqu'à SnowLeopard?
Encore plus loin???

Quelque chose me dit qu'ils vont en profiter pour pousser ceux qui utilisent encore une vieille version de MacOS X à adopter Mavericks...

avatar jb18v | 

Les Lions je sais pas, mais sous SL ça semble bien implémenté (avec la page de test donnée hier). Faut pas voir la conspiration partout quand même :) Idem pour iOS 5 et précédents, ça semble dater d'iOS 6 (reprise de code ? )

avatar béber1 | 

oui, pas la peine d'être paranoïaque, même si la faille est grave.

Samedi, Christophe Laporte spécifiait bien pour OS X :
"Précisons d’emblée que celle-ci touche « seulement » les personnes sous Mavericks."

avatar Tomn | 

@r e m y :
Non je crois avoir lu que c'est juste sur Mavericks

avatar Silverscreen | 

Quelques développeurs qui se sont penchés sur la date d'apparition de la faille ont évoqué l'hypothèse que l'apparition d'Apple dans les entreprises intégrées au programme Prism de la NSA coïncide avec l'apparition de la faille. Ça pourrait confirmer les dires d'Apple, à savoir qu'ils ignoraient ce qu'était Prism et n'avaient pas adhéré à un programme de ce type…

Reste une question en suspend : faille volontairement implémentée par un développeur ou faille judicieusement découverte puis exploitée par la NSA ?

avatar béber1 | 

on peut tout imaginer tant ça parait énorme.
Ça pourrait être une simple bourde, mais à ce niveau, j'en doute même si ce genre de connerie est toujours possible.

Une chose est sûre en ce qui me concerne, c'est que le staff de Cupertino se serait bien passé de ce genre de buzz

avatar joneskind | 

@Silverscreen

Ce que tu dis est intéressant. Je peux te demander d'où tu tiens cette information ?

Ça confirmerait la présence d'"agent double" dans les rangs des développeurs, ce qui est plus qu'inquiétant, y compris pour la communauté du libre. En effet, le problème d'une faille système c'est qu'elle apparait toujours comme innocente. C'est une ligne de code inoffensive qui va agir de manière inattendue sur le système. De fait, il est impossible de détecter une faille de sécurité en lisant des sources. Il faut les exécuter, et tester.

La promptitude d'Apple à proposer une mise à jour de sécurité pour iOS est rassurante, mais ça reste inquiétant.

Qu'en est-il de 10.9.2 ? Cette MàJ résout le problème ?

avatar patrick86 | 

@Silverscreen :

Diantre. Apple serait infiltré…

"faille volontairement implémentée par un développeur ou faille judicieusement découverte puis exploitée par la NSA ?"

Fort bonne question.

avatar BitNic | 

"Diantre. Apple serait infiltré… "

Oui et pour les reconnaître... : ils ont tous le petit doigt raide quand ils boivent le café...

avatar aldomoco | 

@BitNic : Toi BitNic tu devais savoir que pour le café du pauvre il faut impérativement que ton petit doigt soit raide !

avatar T-Dii | 

Ouai eh bin je trouve que ça la fou mal, vraiment, surtout quand on se souvient qu'Apple a déjà embauché des hacker pour mettre en lumière des soucis de ce genre par le passé; il y a quelqu'un qui ne fait pas son boulot correctement:

-soit les hacker remontent les infos et apple n'agit pas
-soit soit ces fameux hacker ne valent pas trop l'attention que leur porte apple
-soit les hacker gardent volontairement des petits secrets qu'ils ont tout le loisir de dénicher, bien au chaud, dans les locaux d'Apple

J'écarte (peut être à tord) la théorie du complot...

avatar scanmb (non vérifié) | 

Pardon pour ma question de "bleu", mais à quel moment cette "faille" est-elle exploitable ?
Si je suis sur safari ? Sur facetime? Concernant un appel , ou un site particulier ?
Lors d' un achat sur le net ?
Si je me connecte à un hotspot ???

Sans tomber dans la paranoïa, quelles sont les règles simples , d'usage, afin de faire attention ?
Merci d'avance, si un spécialiste pouvait vulgariser cela.
Cordialement

avatar samshit | 

Je te conseil de jeter ton mac et tout tes iBidules et d'aller vivre dans une grotte au fin fond de la forêt amazonienne, ou sinon tu peut acheter un PC Windows :D

avatar patrick86 | 

"ou sinon tu peut acheter un PC Windows"

Sauf que c'est pas mieux… ;)

avatar calitel | 

@scanmb

Je suis loin d''être un spécialiste, mais j'ai lu que tant que cette faille sur OSX n'était pas comblée, il était préférable pour naviguer d'utiliser un autre navigateur que Safari.
"Chrome" par exemple. Ce dernier semblerait intégrer directement ce qu'il faut pour surfer tranquillement.

Il y a un lien d'essai: https://www.imperialviolet.org:1266/

Si avec ton navigateur tu tombes sur une page inaccessible, c'est que tu utilises un navigateur sûr.
Actuellement, si tu vas sur ce lien avec safari, tu tombes sur un texte qui indique que la faille est ouverte (Sur le même lien avec Chrome, c'est inaccessible).

(Mais ceci ne concerne que le surf sur internet...)

avatar scanmb (non vérifié) | 

@samshit: pour les "ibidules" , l'upgrade a été fait ( 7.0.6), merci pour l'idée, pas forcément appropriée, mais bon... C'est une réponse.
En outre, la foret amazonienne n'est pas dans mes projets actuellement, mais elle doit valoir le coup d'oeil ;)

Plus sérieusement, après ces quelques digressions "clavardesques":

@calitel: merci pour l'information, j'ai réinstallé firefox.

Néanmoins, dans le sujet il était parlé de plusieurs applications touchées.
Donc, la question était juste, de quelle façon se prémunir des soucis avec un minimum de bon bon sens et d'usage " dans les clous" ?dirai-je .
Cordialement

avatar scanmb (non vérifié) | 

@patrick86 : j'ai déjà sous vmware ;)

avatar scanmb (non vérifié) | 

@ bitnic : mais où est David Vincent ?????

avatar patrick86 | 

@scanmb :

Moi aussi

avatar lennyd | 

Pour ceux et celles qui ont jailbreaké leur iDevice et qui n'ont pas encore ou ne veulent pas faire la MAJ d'Apple pour x raisons un patch est sorti sur cydia corrigeant la faille il se nomme SSLPatch ;)

avatar iljang | 

oh mon dieu on est tous foutu ! revenons au minitel ! tu es fou qui ne nous dit pas que . . .
sans déconné, une faille sous APPLE (iOS/OS X) et ça fait la une
vont être jaloux chez mi-grosoft !!! car chez eux, c'est très régulièrement qu'ils sortent des security update machin mais ça n'en fait pas la une ^^

CONNEXION UTILISATEUR