Tout a commencé par une erreur de code, comme tant d’autres vulnérabilités. La vulnérabilité SSL/TLS dont nous parlons est sérieuse. The Verge est même allé jusqu’à dire que cette faille existe depuis 18 mois et qu’elle pourrait être utilisée par la NSA pour accéder aux appareils Apple.
Voici comment Apple le décrit :
Conséquence : un attaquant disposant d’une position privilégiée sur le réseau peut capturer ou modifier des données dans des sessions protégées par SSL/TLS.
En termes simples, cela signifie que les données envoyées et reçues avec Safari, les applications Apple et toute application tierce qui utilise le propre système SSL d’Apple sur iOS et Mac sont non crypté et sécurisé.
Qu’est-ce qui n’allait pas exactement ?
SSL (Secure Sockets Layer) et TSL (Transport Layer Security) sont un ensemble de technologies qui établissent une connexion sécurisée et cryptée entre votre ordinateur et le serveur. L’erreur de code a rendu le vérification de la signature une partie de ce processus échoue.
Cela signifie que le système peut vérifier si le certificat de sécurité est sécurisé ou non, mais il ne peut pas vérifier qui a signé le certificat. Et cela signifie qu’une demande de signature falsifiée peut passer par le système sans aucun problème.
Le bogue SSL permet aux pirates d’accéder facilement à des informations sensibles telles que les noms d’utilisateur, les mots de passe et les informations de carte de crédit lors de l’utilisation d’applications utilisant le système SSL d’Apple pour le cryptage.
Si vous souhaitez une explication plus technique sur ce processus, consultez les articles de blog d’Adam Langley et Ashkan Soltani.
Veuillez mettre à jour
Le bogue affecte les appareils iOS entre iOS 6 et iOS 7.0.5, Apple TV et OS X Mavericks. Apple a poussé les mises à jour suivantes pour ses utilisateurs.
Mises à jour pour iOS
Mise à jour iOS 7.0.6 pour les utilisateurs d’iOS 7.
Mise à jour iOS 6.1.6 pour les utilisateurs d’iOS 6.
Mise à jour iOS 6.0.2 pour les propriétaires d’Apple TV.
Mise à jour pour Mac
Mise à jour OS X 10.9.2 pour les non-conformistes.
Si vous n’êtes pas à jour sur l’une de ces versions, vous devez appuyer sur ce bouton de mise à jour vite. Que se passe-t-il si mon appareil est jailbreaké, demandez-vous ? Nous avons également une solution pour vous.
Solution pour les jailbreakers
Si votre iPhone ou iPad est jailbreaké, vous avez de la chance. Vous n’avez pas besoin de mettre à jour iOS pour corriger cette vulnérabilité. Installation d’un tweak par Ryan Petrich de Cydia fera l’affaire. Voici comment vous pouvez le faire.
Étape 1: Entrer dans Faire en sorterobinet Éditer et alors Ajouter.
Étape 2: Dans le champ de texte, ajoutez cette URL – http://rpetri.ch/repo et appuyez sur Ajouter une source
Étape 3: Vous êtes maintenant abonné au dépôt de Ryan. Revenez à Cydia, cliquez sur Chercher et chercher SSLPatch.
Étape 4: Cliquez maintenant Installer puis choisissez Confirmer. Le correctif sera installé. Cliquer sur Redémarrer l’appareil lorsque vous y êtes invité.
Pour vous assurer que le tweak a été installé et fonctionne correctement, rendez-vous sur gotofail.com et il devrait indiquer « Sûr ».
Et comme toujours, restez en sécurité.
Crédit image du haut : Martin Abegglen