Faille SSL : Apple travaille sur un correctif pour OS X
Apple a fait savoir qu’une mise à jour d’OS X serait disponible très prochainement afin de régler la faille SSL. Pour comprendre les enjeux de cette faille, nous vous recommandons la lecture de cet article SSL : une faille majeure dans iOS et OS X.
De nombreux chercheurs en sécurité se demandent comment Apple a pu sortir une mise à jour d’iOS pour régler cette faille et laisser les utilisateurs d’OS X dans le noir. La faille est désormais publique et les hackers ont quelques heures ou jours devant eux pour l’exploiter.
Rappelons que cette faille sur OS X touche uniquement Mavericks.
En attendant le correctif, si on ne navigue que sur ses quelques sites (a priori sûrs) en favori, le problème n'en est pas vraiment un, si ?
Erreur dans le titre ': faille SSH... Ou alors il y a deux failles induites pas la faille SSL?
La dernière Bêta de IOS 7.1 est semble t'il affectée également . Pas de correctif actuellement.
Je ne sais pas si les attaques ont déjà commencé, mais safari était d'une grande lenteur dans le chargement des pages ce matin. Je redécouvre Firefox et Entourage qui ont bien vieilli.
Il faut utiliser Firefox ou chrome en attendant la correction.
Pareil pour iOS avec Chrome si vous ne faites pas la maj.
Il faut oui.... Mais je pense aux millions d'utilisateurs Apple de base qui jamais ne liront cette news.
Apple s'expose à un gros procès là.
Alors là, Apple devient comme Microsoft ???? Cela devient très inquiétant, je fait toutes mes transactions postales et bancaires avec un mac os 10.9 en croyant que c'est sécurisé. Est-ce que je me trompe ou bien je confond avec htpps??
Merci de me renseigner
Salutations à tous
@nonoFB :
Oui et non :) si tu te connectes à ta banque la vrai les données sont bien chiffrée mais si tu te connecté a ta banque (fausse) apple va autorisée la connexion aussi tu va données tes données à un site frauduleux. Les échanges entre ton site et ta fausse banque seront aussi chiffrées.
Tout système est vulnérable , les développeurs ne sont pas des dieux.
Ok, merci à vous tous pour ces infos très utiles. Je suis utilisateur normal !!, et à ce titre j'ai des connaissances limitées en programmation et autres.
Encore merci pour ce site qui apporte beaucoup de trucs et info
La faille n'est vulnérable que sur des hotspots, wifi ouverts, ou réseaux inconnus. Si vous restez sur votre connexion privée, le risque est moindre.
C'est ce qu'on appelle une faille "Man in the middle"...
Cette faille concerne "surtout" les connexions WiFi public. A moins que votre WiFi perso se fasse piraté ce qui permet à une autre personne de s'intercaler entre vous et les sites. Sinon, pas de risque particulier.
Que l'ons soit d'accord, cette faille est grave, mais le risque reste assez faible si on se connecte sur des connexions de confiance.
Justement avec man in the middle, on croit toujours être connecté au bon réseau wifi...même quand on se fait hacker. (on fait bien un AP avec les mêmes caractéristiques que le Wifi de "confiance", puis on lance une desauth si le pc n'est pas connecté à la bonne borne) et tout ce qui normalement n'est pas crypté est exploitable. Bon si OSX facilite les choses ....
@Ducletho :
Pas le WiFi mais les sites.
Pour le WiFi ta connexion se base aussi sur l'adresse réseau physique et unique qu'on appelle l'adresse MAC.
Mais qui n'a rien avoir avec les ordinateurs Mac.
Donc si dans le voisinage il y a deux WiFi du meme nom ne vous trompez pas. Pour pouvoir faire l'homme in the middle, il que la personne soit d'abord connecté par exemple à ton WiFi.
Comme son nom l'indique il est au milieu entre toi et le reste du monde.
Perso chez moi, et c'est ce que je conseille à mes amis, c'est de sécuriser le réseau WiFi chez moi.
Sur ma box il y a une option qui n'autorise la connexion à mon réseau WiFi que les devices dont l'adresse MAC est enregistrée dans ma box. En plus des clés WEP/WPA... etc
De cette manière, même si quelqu'un connait le passe, il ne pourra se connecter avec sin appareil, car l'adresse MAC n'est pas enregistrée.
Donc là déjà je peux "pratiquement" être sur que personne ne peut se mettre entre moi et ma connexion.
@XiliX :
Je ne connaissais pas cette astuce, netgear le fait ?
Toutes box te permet de limiter les utilisateurs en activant le filtrage MAC.
@Ducletho :
Il faut préciser les box récentes. Enfin, moins, de 3-4ans..
Oui les nouvelles d'il y a 3 à 4 ans :))
"Pour le WiFi ta connexion se base aussi sur l'adresse réseau physique et unique qu'on appelle l'adresse MAC."
C'était mon hobby. L'adresse MAC peut être aisément trompée. iwconfig (interface) hw (l'adresse MAC que tu veux imiter) sur Linux. Sur Mac, je crois que c'est ifconfig à la place et ether à la place de hw.
En fait tu sniffes la personne qui se connecte à son réseau et tu as toutes les infos (IP, SSID, BSSID, MAC)
Wep, cracké en 20 min ou un peu plus.
Wpa cracké ? ça dépend de l'âge de ta box et si tu as laissé le wps actif (ce qui est le cas). Si c'est une ancienne box (qui accepte des desauth illimitées) : 1h30 en moyenne pour avoir la clé.
ça c'est si tu veux pénétrer le réseau.
Si tu ne peux pas :
Tu peux te mettre entre la borne et l'utilisateur (the man in the middle). Pour ça il te faut une antenne wifi pour que le signal soit assez puissant (j'en ai une de 1000 mW qui me permet de faire ce que je veux à environ 100m), les pro ont des "antennes râteau"
Tu as des outils pour ça dont airbase, pour créer un point d'accès identique au tien.
Puis tu lances des attaques "mdk3" pour tenter de desauthentifier l'utilisateur de sa borne jusqu'à ce que ton PC vienne sur la mauvaise Borne. Bref tu ne verras que du feu, car tu auras accès à internet sur le schéma suivant (peut être avec quelques ralentissements): Ton PC <> Borne du hacker <> Ta borne . Un outil d'analyse de traffic (je me rappelle plus comment s'appelle le nouveau ethereal) te permet de savoir ce que fait la personne.
A l'époque, quand Facebook n'était pas en connexion https, c'était un plaisir de récupérer les id + mdp
@Ducletho :
Tout à fait, tu peux cloner l'adresse MAC, tu peux sniffer les comm...
MAIS... Bien sur il y a un mais, il faut d'abord être connecter sur le même reseau. Sinon, aucune chance...
Tu peux cloner la borne si tu ne peux pas rentrer dans le réseau.
Un exemple, pour obtenir, les identifiants et mdp d'un wifi d'un hôtel. Tu recopies la page de garde de l'hôtel (que tu modifies pour récupérer les données qui seront validées par l'utilisateur).
> Tu fais une borne au même nom que la borne d'accès de l'hôtel.
> Tu désauthentifies la personne qui veut se connecte jusqu'à ce qu'elle vienne chez toi.
> La personne voit la fausse page de garde et rentre son id et mdp. que je récupère.
ça c'est la méthode la plus compliquée.
La plus simple pour la connection à l'hotel est bien évidemment de changer son adresse MAC, l'inconvénient est qu'on ne peut se connecter en même temps.
@Ducletho :
En fait la méthode que tu donnes c'est plus du phishing. Qui consiste à redirectionner un utilisateur vers un faux site. Ce qui permet comme tu dis de tromper la personne qui se connecte. Mais la méthode "Man in the muddle" est pratiquement la même, mais en étant déja dans le même réseau.
Premier problème, comment désauthentifier l'abonné sans avoir accès à son device ?
En revanche, je suis d'accord avec toi de modifier l'adresse MAC de son device lors d'une connexion sur des WiFi public ou HotSpot.
@XiliX :
Ce qui est sur est qu'une solution parfaite n'existe pas, à nous aussi d'être vigilant.
C'est exactement pareil que la clé de la maison, il faut empêcher des inconnus de pouvoir accéder physiquement. Pour éviter le clonage de la clé.
"C'est exactement pareil que la clé de la maison, il faut empêcher des inconnus de pouvoir accéder physiquement. Pour éviter le clonage de la clé."
Le problème est que tu ne peux cacher ton BSSID (même si tu coches l'option).
Il faut désactiver le WIFI pour avoir la secu max. La seule solution. Après il faut des solutions d'entreprise...coûteuses
"Premier problème, comment désauthentifier l'abonné sans avoir accès à son device ?
http://www.crack-wifi.com/forum/topic-6264-attaque-deauth-par-mdk3.html
pas besoin d'avoir accès à son devise. La borne n'aime pas les attaques. Et tu peux même faire une liste blanche d'adresses MAC, pour éviter de desauth les PC que tu veux.
@Ducletho
J'ai un doute : Descendre à la réception pour demander le mdp du wifi, c'est plus simple ou plus compliqué que ta méthode simple ? ;)
ça dépend, il y a deux raisons :
> La première, est où est le plaisir ? A part si l'hôtesse d'accueil est charmante...Mais effectivement la méthode la plus simple.
> Si le Wifi est payant de moins en moins à l'hôtel (le mercure de joué les tours, c'est payant de mémoire), mais dans certains lieux publics ça reste payant.
Et en réalité, depuis que l'iphone a intégré le partage de connexion plus besoin (enfin je l'avais sur le jailbreak avant avant ...)
"Bien sur il y a un mais, il faut d'abord être connecter sur le même reseau. Sinon, aucune chance..."
Je suis d'accord avec toi, mais on peut tromper l'utilisateur en le faisant venir sur le réseau du hacker, comme l'exemple de l'hôtel, mais là on prend une page soi disant sécurisée par certificat, pour récupérer les données bancaires...
@Ducletho
"A l'époque, quand Facebook n'était pas en connexion https, c'était un plaisir de récupérer les id + mdp "
Pour quoi faire ?
Pour rien, pour le plaisir de satisfaire mon neurone en ébullition.
@Ducletho
"Pour rien, pour le plaisir de satisfaire mon neurone en ébullition. "
Tu sais qu'il y a pleins d'autres moyen sans pour autant violer le propriété des autres ?
Oui je sais je t'emmerde .. :-)
Va falloir que tu trouves un autre OS à ronger :)))
Client Apple depuis plus de 10 ans, je me dis que depuis ios7 et Mavericks la qualité laisse à désirer chez Apple.
J'ai le ressenti qu'ils ont développé à toute vitesse leurs derniers programmes, OS etc.
Je suis grand fan d'iOS 7 mais j'ai l'impression d'avoir entre les mains un OS inachevé.
Maverick meme chose (la preuve dans cet article, on reste entre du design classique de mountain Lion et du flat à la iOS7 pour certains icones, le centre de notification, le problème Gmail, le wifi etc..). Je veux bien croire qu'ils ont tout réécris mais bon pour moi c'est du inachevé qu'on propose au client ! C'est trop flagrant !
Les logiciels Pages, Keynote, Numbers sont démunis de certaines fonctionnalités des versions antérieures... Apple promet de les réintégrer au fil de mises à jour....
Bref depuis 1 an et demi au fond de moi je me dis qu'avant de sortir leurs trucs il devraient bosser un peu plus dessus.
Vivement iOS 7.1 !
La même rengaine à chaque nouvelle version d'un logiciel Apple.
Ce que tu appelles inachevé, j'appelle cela transition. Il est évident qu'Apple ne devait pas (et ne pouvait pas) convertir OS X au flat design dans cette version.
Les anciennes versions d'iWork fonctionnent toujours soit dit en passant.
"Je suis grand fan d'iOS 7 mais j'ai l'impression d'avoir entre les mains un OS inachevé."
Ce n'est essentiellement qu'une impression.
"Apple promet de les réintégrer au fil de mises à jour...."
Beaucoup de fonctions sont déjà revenus.
"Je suis grand fan d'iOS 7 mais j'ai l'impression d'avoir entre les mains un OS inachevé."
Ce n'est essentiellement qu'une impression."
et
"Beaucoup de fonctions sont déjà revenus."
Tu le dis toi même : inachevé car il manque des fonctions basiques. Donc on n'est pas que dans l'impression ,
@MA8306 :
Complètement d'accord avec toi.
C'est inadmissible de la part d'Apple, je pense que du temps de SJ, cela ne serait jamais arrivé, il y a des coups de pied au cul qui se perdent grave!
"C'est inadmissible de la part d'Apple, je pense que du temps de SJ, cela ne serait jamais arrivé, "
Tu penses mal.
Y'a aussi eu des erreurs du temps de Steve, des failles, etc.
--
Arrêtez de fantasmer bêtement sur la Sainte époque Steve Jobs.
@patrick86 :
Exact... quand on se rappelle du déploiement de "Me.com" c'était quelque chose...
@caca d'oiseau :
As-tu oublié l'affaire Plan ?
Non bien sûr, mais ça aussi c'est du récent, et rejoint donc le cimetière des erreurs récentes comme cette faille, mais plan était à mes yeux beaucoup moins grave...
@caca d’oiseau
Soit tu as la mémoire courte, soit tu fantasme complètement “le temps de S. Jobs”
Ta réponse est juste, je me suis laissé aller à la colére, c'est vrai que dans le passé (lointain quand même) il y avait pas mal de "cagouilles" quand on installait le système avec une bonne dizaine de diskettes et qui plantait juste à la fin...mais on acceptait quand même tous ces plantages, et aujourd'hui on (moi compris) râle dés qu'il y a un grain de sable dans sa godasse! dont acte!!! et merci.
Je vous rappelle que Mavericks est toujours en beta... ^^
"Je vous rappelle que Mavericks est toujours en beta"
Faux.
C'était un petit troll, mais un OS est prêt quand sa dernière version est dispo comme 10.8.5 et encore ce n'est pas parfait...
@Nihondjin :
Et quel est la dernière version d'un logiciel ?
Apple s'arrête de faire évoluer une version majeur quand sort la suivante. Elle pourrait très bien faire évoluer une même version majeur 5 ans avant de sortir la suivante. Le résultat serait le même.
Un logiciel n'est JAMAIS terminé.
On peut toujours aller plus loin.
"un logiciel n'est jamais terminé, on peut toujours aller plus loin"
Ouais mais faut pas se perdre. :)
Il ne faut pas oublier que les systèmes d'exploitation deviennent de plus en plus complexe. De nouvelles technologies arrivent et elles doivent être intégrées aussi.
Et il est impossible de prévoir toutes les failles possibles. Le plus important est la réactivité de combler cette faille.
Je suis moi même dev, et dans la boîte où je bosse, on a une équipe dont le rôle est de trouver des dysfonctionnements. Et même malgré cela, il arrive qu'une faille passe à travers. Mais on corrige illico presto.
Pages