Les produits Apple frappés par une faille de sécurité majeure
La dernière version du système d'exploitation Apple qui équipe les iPhone, les iPad mais aussi les ordinateurs de la marque présente un problème de sécurité important qui nécessite une mise à jour urgente.
La faille est assez grave pour qu'Apple en fasse part publiquement. Le groupe informatique américain a découvert une brèche dans la sécurité de l'IOS 7, la dernière version du système d'exploitation qui équipe les iPhone et iPad. Pour mettre fin à cette faille qui affecte tous ses appareils les plus récents, Apple a sorti vendredi soir la mise à jour de sécurité (iOS 7.0.6). Elle est téléchargeable sur les iPhone 4 et suivants, l'iPad 2 et les modèles plus récents, ainsi que le baladeur iPod Touch (5e génération).
Mais les ordinateurs Mac sont également touchés, a admis un porte-parole du groupe, car la faille touche le système d'exploitation OS X. «Nous sommes conscients de ce problème et avons une mise à jour de réparation qui sera publiée très bientôt», a-t-il assuré.
Connexions non sécurisées
Concrètement, un appareil Apple connecté à un site via une connexion sécurisée SSL ou TLS n'est en réalité pas du tout protégé. Ce type de certificat établit une connexion sécurisée à un site Internet. Il est utilisé par les sites de banque en ligne, les boites e-mail type Gmail ou encore Facebook. Une simple erreur dans une ligne de code fait que la connexion n'est plus du tout authentifiée. Sans donner trop de détails «pour ne pas faciliter la vie des pirates», la société de sécurité Crowdstrike explique sur un blog que cela permet à un pirate, s'il est connecté au même réseau que sa victime, de tromper les systèmes de vérification et d'intercepter l'intégralité des communications avec un service en ligne, comme une banque.
«C'est plutôt une grosse affaire», relève le site d'analyses 247wallst.com. «Disons que l'attaquant a accès au même réseau via une connexion non sécurisée dans un café ou un restaurant. Il pourrait se faire passer pour un site protégé comme Facebook ou Gmail et altérer n'importe quelle donnée transmise entre l'iPhone et le site.» Il regrette «l'approche discrète» d'Apple «étant donné la gravité des dommages potentiels», soulignant notamment que «la mise à jour ne donne aucun sens de l'urgence à installer le patch» de sécurité. Crowdstrike conseille justement d'effectuer les mises à jour disponibles «le plus vite possible», et dans l'intervalle de «ne pas utiliser de réseaux à la sécurité non garantie (spécialement wifi) lors de ses déplacements».
Le Figaro