Le 21 février dernier, Apple proposait une mise à jour d’iOS corrigeant une faille de sécurité considérée comme grave. Qu’en est-il ?

cadenas sécurité Apple

Le SSL pour les nuls. Numérotée 7.0.6, la mise à jour iOS proposée ce week-end par Apple était comme à son habitude assez floue : « Cette mise à jour de sécurité corrige un problème relatif à la vérification de la connexion SSL ». Tel était le message accompagnant la notification qui a du apparaître dans la section réglages de votre iPhone ou iPad. Le SSL ? Kesako ? Il s’agit d’un protocole de communication qui assure la sécurité entre votre terminal (iPhone, iPad ou machine de bureau) et les serveurs du site auquel vous êtes connecté. Ce protocole crypte les données échangées lorsque vous vous connectez par exemple avec votre banque ou un espace de paiement que ce soit à partir d’un navigateur ou d’une application. Tout cela est transparent pour l’utilisateur qui peut éventuellement s’assurer de la sécurisation de sa connexion en repérant le petit cadenas ou bien le « s » qui figurent tous deux dans la barre d’adresse du site avec lequel il échange des données. Cette sécurisation est importante car elle empêche toute personne mal intentionnée de s’interposer entre l’iPad (iPhone,…) et les serveurs d’un site qui est susceptible de réclamer la saisie de mot de passe, numéro de carte bleue, etc. A travers une liaison filaire, le seul intermédiaire entre vous et votre banque par exemple, c’est le fournisseur d’accès. Pas trop de souci à se faire dans ce type de connexion donc. Le vrai problème… c’est Starbucks !

iPad en Wifi chez Starbucks

Vous l’aurez compris, le vrai problème, c’est la connexion Wifi. Dans ce type de connexion, les SSL et TLS sont des barrières indispensables à la sécurité de la liaison. Les données passant par les airs, n’importe qui peut s’interposer et les intercepter. C’est là que la gravité de la faille d’iOS prend toute son ampleur. Selon certains experts en effet, cette faille est à la portée de n’importe quel bidouiller informatique (voir Tweet ci-dessous). Pas besoin d’être un as du hacking ! A la maison, votre accès Wifi est « normalement » sécurisé par un mot de passe et vos voisins de paliers ne sont pas nécessairement des voleurs de données. Mais la chance de croiser le chemin d’un vilain pirate est plus importante dans les lieux publics proposant le Wifi gratuitement. Et oui, c’est là qu’on reparle de Starbucks… La chaîne de restaurant, comme d’autres d’ailleurs, offre un Wifi ouvert à tous les vents. Payer en ligne depuis une terrasse du Mac Donald’s avec un iOS non corrigé, c’est prendre le risque de se faire voler des données très sensibles : numéro de compte et de carte, date de validité de celle-ci,… Les moins soucieux rétorqueront que les chances de croiser un hacker malintentionné au restaurant est très faible. Certes ! Mais si ça tombe sur vous, 100% des problèmes (débits du compte, usurpation d’identité,…) seront pour votre pomme…

Tweet de Pod2g sur la faille SSL de iOS

Les solutions. La plus simple consiste naturellement à réaliser la mise à jour le plus rapidement possible. La faille sera corrigée. Cette précaution est aussi valable pour les appareils « coincés » sur iOS 6 comme l’iPhone 3GS ou les vieux iPod Touch. Veillez à disposer d’assez de batterie, la mise à jour peut prendre 10 à 20 minutes. « Je n’ai pas assez de place sur mon iPhone pour faire la mise à jour ! » Aïe ! En attendant de libérer un peu d’espace, évitez simplement d’utiliser Safari. Optez pour Chrome qui semble épargné par le problème. A minima, évitez les transactions en dehors de votre Wifi personnel.

Le côté obscur de l’histoire. Les problèmes de sécurité font le quotidien des géants Technos. Ce qui est effrayant dans cet épisode c’est le temps qu’Apple a mis pour proposer sa mise à jour.  Un an et demi ! Voilà depuis combien de temps la faille existe ! Autant dire une éternité à l’échelle informatique ! Des test ont en effet confirmé que le bug de programmation était déjà présent… dans iOS 6.0… De nombreux commentateurs comme le charismatique John Gruber ne se sont pas gênés pour faire remarquer que la NSA a du allègrement exploiter cette magistrale porte d’entrée vers les iPhone du monde entier… L’iPhone, rappelons-le, a clairement été ciblé par l’Agence gouvernementale depuis 2008. Du coup, les amateurs de complot n’hésitent pas à clamer qu’Apple a volontairement implanté la faille et trainé des pieds à la corriger.

Tweet suggérant qu'Apple a volontairement introduit la faille SSL dans iOS

 

Epilogue. La faille iOS est désormais corrigée et Mac OS X Mavericks, lui aussi touché, vient de recevoir sa mise à jour. Elle est notée 10.9.2. Si celle-ci n’a pas été faite sur votre machine, la meilleure solution reste encore une fois l’usage de Chrome en attendant les corrections qui s’imposent. Si vous tenez à savoir si votre appareil est touché par la faille, rendez-vous sur ce site. Un message d’alerte sur fond rouge vous prévient si votre navigateur vous met en danger. Un message sur fond jaune ou vert au contraire, confirmera que votre navigation est sécurisée, ce qui est le cas avec Chrome et Firefox sous Mavericks même avant correction.

Pour terminer sur iOS, Apple va devoir secouer un peu ses développeurs. A peine cet épisode « terminé », on apprend que des chercheurs de la société de sécurité FireEye ont réussi à faire valider par l’AppStore une application contenant des codes capables d’enregistrer et communiquer toute activité réalisée sur un appareil mobile Pommé fonctionnant sous iOS 6 et 7 ! Cette manoeuvre est théoriquement rendue impossible par les barrières sécuritaires de l’AppStore. Toute la valeur d’un système fermé comme iOS vole ici en éclat ! Les chercheurs disent néanmoins avoir prévenu Cupertino. Espérons qu’un patch sera proposé avant décembre 2015…