Les apps touchées par la faille SSL
Comme nous l’expliquions dans notre papier consacré à la faille SSL, celle-ci ne concerne pas uniquement Mail et Safari. Elle touche de nombreuses applications.
Un chercheur en sécurité, Ashkan Soltani, s’est amusé à lister quelques applications répandues qui ont recours à SSL. Dans les applications livrées avec le système, on trouve Calendrier, FaceTime, iBooks, Keynote, Twitter, iMessage, le système de push ou encore le VPN du système. Ce rapport est très très loin d’être exhaustif, mais donne une idée du grand nombre d’angles d’attaque qu’ont les hackers pour exploiter cette faille.
Notez que certaines apps comme iMessage et FaceTime possèdent des dispositifs de sécurité supplémentaires qui rendent éventuellement cette faille un peu moins dangereuse. Même le mécanisme de mise à jour intégré au système est concerné, la connexion avec les serveurs d’Apple étant chiffrée.
J'ai eu une mise à jour iOs ce matin concernant les failles SSL
Du coup, pour les apps tierces, il faut attendre une mise à jour ou cela se règle avec iOS 7.0.6 ?
Là, on parle d'OS X. Sur iOS, la version 7.0.6 règle tous les problèmes oui.
Y'a un moyen d'utiliser la faille de manière totalement innocente pour vérifier si la faille est bien là ? Ayant la dernière bêta d'OS X 10.9.2, le problème est peut-être déjà réglé ici…
@Siilver777 :
Sur l'article d'hier il y a une URL qui fait le diagnostic.
Il semble que cette faille existe depuis l'origine de MacOS X....
Apple l'a corrigée sur iOS 6 et 7.
Je me demande sur quelles versions de MacOS ils vont proposer le patch de sécurité pour la combler...
Seulement Mavericks?
Mavericks et MountainLion?
Mavericks, MountainLion et Lion?
Jusqu'à SnowLeopard?
Encore plus loin???
Quelque chose me dit qu'ils vont en profiter pour pousser ceux qui utilisent encore une vieille version de MacOS X à adopter Mavericks...
Les Lions je sais pas, mais sous SL ça semble bien implémenté (avec la page de test donnée hier). Faut pas voir la conspiration partout quand même :) Idem pour iOS 5 et précédents, ça semble dater d'iOS 6 (reprise de code ? )
oui, pas la peine d'être paranoïaque, même si la faille est grave.
Samedi, Christophe Laporte spécifiait bien pour OS X :
"Précisons d’emblée que celle-ci touche « seulement » les personnes sous Mavericks."
@r e m y :
Non je crois avoir lu que c'est juste sur Mavericks
Quelques développeurs qui se sont penchés sur la date d'apparition de la faille ont évoqué l'hypothèse que l'apparition d'Apple dans les entreprises intégrées au programme Prism de la NSA coïncide avec l'apparition de la faille. Ça pourrait confirmer les dires d'Apple, à savoir qu'ils ignoraient ce qu'était Prism et n'avaient pas adhéré à un programme de ce type…
Reste une question en suspend : faille volontairement implémentée par un développeur ou faille judicieusement découverte puis exploitée par la NSA ?
on peut tout imaginer tant ça parait énorme.
Ça pourrait être une simple bourde, mais à ce niveau, j'en doute même si ce genre de connerie est toujours possible.
Une chose est sûre en ce qui me concerne, c'est que le staff de Cupertino se serait bien passé de ce genre de buzz
@Silverscreen
Ce que tu dis est intéressant. Je peux te demander d'où tu tiens cette information ?
Ça confirmerait la présence d'"agent double" dans les rangs des développeurs, ce qui est plus qu'inquiétant, y compris pour la communauté du libre. En effet, le problème d'une faille système c'est qu'elle apparait toujours comme innocente. C'est une ligne de code inoffensive qui va agir de manière inattendue sur le système. De fait, il est impossible de détecter une faille de sécurité en lisant des sources. Il faut les exécuter, et tester.
La promptitude d'Apple à proposer une mise à jour de sécurité pour iOS est rassurante, mais ça reste inquiétant.
Qu'en est-il de 10.9.2 ? Cette MàJ résout le problème ?
@Silverscreen :
Diantre. Apple serait infiltré…
"faille volontairement implémentée par un développeur ou faille judicieusement découverte puis exploitée par la NSA ?"
Fort bonne question.
"Diantre. Apple serait infiltré… "
Oui et pour les reconnaître... : ils ont tous le petit doigt raide quand ils boivent le café...
@BitNic : Toi BitNic tu devais savoir que pour le café du pauvre il faut impérativement que ton petit doigt soit raide !
Ouai eh bin je trouve que ça la fou mal, vraiment, surtout quand on se souvient qu'Apple a déjà embauché des hacker pour mettre en lumière des soucis de ce genre par le passé; il y a quelqu'un qui ne fait pas son boulot correctement:
-soit les hacker remontent les infos et apple n'agit pas
-soit soit ces fameux hacker ne valent pas trop l'attention que leur porte apple
-soit les hacker gardent volontairement des petits secrets qu'ils ont tout le loisir de dénicher, bien au chaud, dans les locaux d'Apple
J'écarte (peut être à tord) la théorie du complot...
Pardon pour ma question de "bleu", mais à quel moment cette "faille" est-elle exploitable ?
Si je suis sur safari ? Sur facetime? Concernant un appel , ou un site particulier ?
Lors d' un achat sur le net ?
Si je me connecte à un hotspot ???
Sans tomber dans la paranoïa, quelles sont les règles simples , d'usage, afin de faire attention ?
Merci d'avance, si un spécialiste pouvait vulgariser cela.
Cordialement
Je te conseil de jeter ton mac et tout tes iBidules et d'aller vivre dans une grotte au fin fond de la forêt amazonienne, ou sinon tu peut acheter un PC Windows :D
"ou sinon tu peut acheter un PC Windows"
Sauf que c'est pas mieux… ;)
@scanmb
Je suis loin d''être un spécialiste, mais j'ai lu que tant que cette faille sur OSX n'était pas comblée, il était préférable pour naviguer d'utiliser un autre navigateur que Safari.
"Chrome" par exemple. Ce dernier semblerait intégrer directement ce qu'il faut pour surfer tranquillement.
Il y a un lien d'essai: https://www.imperialviolet.org:1266/
Si avec ton navigateur tu tombes sur une page inaccessible, c'est que tu utilises un navigateur sûr.
Actuellement, si tu vas sur ce lien avec safari, tu tombes sur un texte qui indique que la faille est ouverte (Sur le même lien avec Chrome, c'est inaccessible).
(Mais ceci ne concerne que le surf sur internet...)
@samshit: pour les "ibidules" , l'upgrade a été fait ( 7.0.6), merci pour l'idée, pas forcément appropriée, mais bon... C'est une réponse.
En outre, la foret amazonienne n'est pas dans mes projets actuellement, mais elle doit valoir le coup d'oeil ;)
Plus sérieusement, après ces quelques digressions "clavardesques":
@calitel: merci pour l'information, j'ai réinstallé firefox.
Néanmoins, dans le sujet il était parlé de plusieurs applications touchées.
Donc, la question était juste, de quelle façon se prémunir des soucis avec un minimum de bon bon sens et d'usage " dans les clous" ?dirai-je .
Cordialement
@patrick86 : j'ai déjà sous vmware ;)
@ bitnic : mais où est David Vincent ?????
@scanmb :
Moi aussi
Pour ceux et celles qui ont jailbreaké leur iDevice et qui n'ont pas encore ou ne veulent pas faire la MAJ d'Apple pour x raisons un patch est sorti sur cydia corrigeant la faille il se nomme SSLPatch ;)
oh mon dieu on est tous foutu ! revenons au minitel ! tu es fou qui ne nous dit pas que . . .
sans déconné, une faille sous APPLE (iOS/OS X) et ça fait la une
vont être jaloux chez mi-grosoft !!! car chez eux, c'est très régulièrement qu'ils sortent des security update machin mais ça n'en fait pas la une ^^