Grosse faille de cryptage dans iOS 7 d'Apple ; Apple publie un correctif pour la corriger

Une faille majeure qui a été signalée mercredi dernier dans le système d’exploitation mobile iOS 7 d’Apple semble avoir été contenue pour l’instant. La faille, une fois découverte, avait été qualifiée de plus grande lacune de sécurité d’Apple car elle aurait permis à de potentiels attaquants/hackers d’intercepter des e-mails et d’autres communications qui sont en réalité censés être cryptés. La société a déclaré que cette faille existe même dans son système d’exploitation informatique haut de gamme, Mac OS X.

En termes simples, si vous utilisiez un iPhone 5s et que vous étiez assis dans un restaurant offrant un réseau sans fil non sécurisé, un attaquant/hacker aurait pu voir l’échange entre vous et votre e-mail ou réseau social avant qu’il ne soit crypté. En d’autres termes, les hackers auraient pu voir tous les échanges que vous aviez sur votre Gmail, Facebook, Twitter et d’autres sites sécurisés. La faille existe essentiellement en raison d’une ligne supplémentaire de code « goto » qui contourne le processus d’authentification du système iOS, permettant à un tiers (hacker/attaquant) d’intercepter vos e-mails personnels ainsi que de visualiser votre trafic Internet. Cela signifie également que la faille aurait permis au hacker potentiel de prendre le contrôle total de votre système.

« C’est aussi mauvais que vous pouvez l’imaginer, c’est tout ce que je peux dire », a déclaré le professeur de cryptographie de l’Université Johns Hopkins, Matthew Green.

Bien qu’Apple ait reconnu la faille, elle n’a pas dit ni comment ni quand elle a appris l’existence de cette faille. Il n’est également pas connu si des hackers/attaquants ont profité de cette faille pendant le temps où elle n’était pas corrigée et l’ont exploitée à des fins personnelles.
Dans l’ensemble, elle a publié une déclaration plutôt franche sur son site Web vendredi, disant « n’a pas réussi à valider l’authenticité de la connexion ». Mais à peine a-t-elle fait ce commentaire, que ses ingénieurs ont travaillé d’arrache-pied pour corriger cette faille. Et d’ici vendredi soir, Apple a publié des correctifs logiciels et une mise à jour pour la version actuelle d’iOS pour l’iPhone 4 et ultérieur, les iPod touch de 5e génération et l’iPad 2 et ultérieur.
Les lecteurs doivent noter que ce bug affecte le navigateur Apple Safari et si vous n’avez pas mis à jour votre iOS 7 ou Mac OS X avec le correctif de sécurité pertinent, il serait préférable de ne pas utiliser le navigateur Safari pour le moment. Le correctif pour les utilisateurs d’iOS 7 est disponible ici. Cependant, jusqu’à la rédaction de cet article, Apple n’a pas publié de correctif ou de patch pour les utilisateurs d’Apple OS X, ils doivent donc être particulièrement prudents lors de la navigation sur Internet.
Certains utilisateurs ont commenté sur les forums qu’Apple aurait peut-être délibérément laissé cette faille dans le code goto comme une porte dérobée pour la NSA et le gouvernement américain afin d’espionner des cibles, tandis que d’autres disent qu’il s’agit simplement d’un code mal formé dû à une mauvaise programmation. Quoi qu’il en soit, jusqu’à ce que la vérité soit révélée, il est conseillé d’utiliser Google Chrome ou Mozilla Firefox pour naviguer/utiliser Internet.