Vendredi, Apple a publié sans fanfare ni trompette des mises à jour de sécurité pour l’ensemble de ses appareils mobiles sous iOS 6 et 7. Il s’agissait en fait de colmater une très importante brèche de sécurité dans la gestion des connexions SSL/TLS. Problème : OS X est lui aussi touché, même dans sa version la plus récente, posant un risque sur des millions d’utilisateurs.
Appareils iOS6 et 7 : installez le correctif dès que possible
Les utilisateurs d’appareils mobiles iOS ont vu arriver vendredi une nouvelle mise à jour dédiée à leur système mobile. Estampillée iOS 6.1.6 ou 7.0.6, elle corrige une faille de sécurité particulièrement sérieuse qui permet de contourner les mécanismes de vérification des connexions sécurisées SSL/TLS. En clair, un pirate pourrait tout à fait se faire passer pour une source légitime de contenu et lui permettre d’intercepter tout le contenu entre la machine et le serveur de destination.
La dangerosité de la faille a rapidement donné lieu sur les réseaux à une déferlante d’articles et de précisions, le hashtag « #Gotofail » devenant le signal de ralliement. Le chercheur indépendant Ashkan Soltani (qui avait notamment aidé à prouver que les liens envoyés sous Skype étaient surveillés de manière proactive) s’est ainsi étonné sur Twitter qu’Apple ne procède pas systématiquement aux tests qui auraient permis de détecter ce type de comportement. Mais dans le guide de sécurité fourni par l’entreprise, il est demandé que les « données invalides ou inattendues » soient autant testées que les données attendues. Pour Adam Langley, de chez Google, il s’agit d’une erreur d’autant plus grave qu’elle est grossière.
iOS est corrigé mais la faille reste béante dans OS X
Le fait est que corriger le système mobile n’est cependant pas suffisant car OS X est tout aussi touché. On sait désormais qu’elle est exploitable sous Mavericks (version 10.9) du système, qu’il soit équipé ou non de sa mise à jour 10.9.1. Même la bêta la plus récente de la mise à jour 10.9.2 est toute aussi touchée par la faille, et une page de test permet de s’en rendre compte : si le message s’affiche, c’est que la faille peut être exploitée.
De nombreuses applications OS X sont touchées par la faille, sans parler de tout ce qui s’appuie sur le système, dont Safari. Ainsi, Calendrier, FaceTime, Mail, iBooks ou même encore le service de notifications et le composant de mise à jour logiciel sont concernés. Cependant, les navigateurs tiers ne semblent pas touchés et la page de test ouverte dans Chrome, Firefox et Opera renvoie vers une erreur, signifiant que la faille ne peut pas être exploitée :
La faille réside dans le composant SecureTransport qui est tout simplement l’implémentation par Apple des protocoles SSL et TLS. La firme est au courant de la faille et a confirmé qu’un patch était en préparation, sans pour autant fournir de fenêtre de tir. Il y a de fortes chances pour qu’il soit publié dès que possible et sans attendre la mise à jour 10.9.2, dont la finalisation est d’ailleurs bien longue.
Exploitation : et si la NSA y était pour quelque chose ?
Se pose en outre la question de l’exploitation. Techniquement, toute personne reliée au même réseau que l’utilisateur peut tenter de récupérer son contenu en utilisant cette faille. C’est pour cette raison qu’il est recommandé deux mesures de précaution : utilisez un réseau Wi-Fi privé pour mettre à jour son appareil iOS et ne pas connecter son Mac à des réseaux publics tant qu’une mise à jour n’est pas disponible.
Il n’existe pour l’instant pas de preuves que la faille a été effectivement exploitée, mais on ne sait pas non plus depuis combien de temps exactement elle est présente dans iOS et OS X. Puisque la version 6 du système est sortie en septembre 2012, on peut supposer qu’elle est présente depuis au moins cette période.
John Grubber, souvent en possession d’informations précises sur les projets de la firme, pointe pour sa part un curieux hasard du calendrier : les documents d’Edward Snowden sur Prism montraient que la NSA avait commencé à récupérer des données chez Apple à partir d’octobre 2012, soit un mois après la sortie d’iOS 6. La question se pose pour lui de savoir si cette faille n’est pas l’un des moyens utilisés par la NSA pour obtenir les informations qu’elle souhaite.
