Accéder au contenu principal

iOS 7.0.6 : la très inquiétante faille de sécurité Apple que révèle la dernière mise à jour pour Iphone

Le vendredi 21 Février, Apple a publié un communiqué annonçant un bug sur les réseaux, touchant le SSL et le TSL. Qu'est-ce que le SSL, et le TSL ? En quoi est-ce problématique s'ils ne sont pas sécurisés ? Quels sont les risques ?
Frédéric Jutant : Le SSL est un certificat de sécurité, qui permet à une connexion http (type transaction bancaire), que la connexion effectuée est sécurisée. On le repère à deux éléments : le cadenas (vert sous Google chrome, par exemple) et le "s" qui vient après le http. Si ces deux éléments sont présents, alors la connexion est sécurisée.

Le certificat SSL protège et crypte les données de l'utilisateur, tant qu'il est activé, vous pouvez vous promener sur n'importe quel site et acheter ce que bon vous semblera. Le signal étant crypté, il est en théorie indéchiffrable, et il n'existe actuellement pas de barrière plus sûre. C'est aujourd'hui la référence universelle en termes de protection des réseaux sur internet.

Mais s'il advenait que le SSL soit brisé, annulé ou inactif, le réseau ne serait plus sécurisé. Les failles permettraient à n'importe qui de lire les données en clair, et donc de récupérer, sans aucune forme de protection, des mots de passe facebook, ou pire, des codes de carte bancaire. Le risque, avec une faille dans le SSL, est énorme : tout le monde est susceptible de pirater tout le monde puisque les données ne sont plus vraiment cachées. Alors, bien sûr, si le SSL n'est pas actif lors d'une simple visite sur le site d'un coiffeur, afin de connaitre ses horaires, les conséquences sont quasi inexistantes. Même pour remplir le formulaire contact, il n'y a rien de particulièrement sensible. En revanche, s'il s'agissait d'un achat sur Amazon, par exemple, il ne serait pas bien compliqué de récupérer tout un tas d'informations sur le compte en banque, dont le code de la carte, les chiffres au dos de celle-ci, etc. Dès lors que le contenu est sensible, il est indispensable de s'assurer que le SSL est bien actif.

Comment les utilisateurs de mac peuvent-ils se protéger ? Quelles sont les possibles solutions pour ne pas se faire pirater ?
Le bug que subissent les utilisateurs de mac est du à ce qu'on appelle en code une condition. En quelques mots, l'ordinateur exécute une commande si les conditions requises sont présentes. Pour faire office de comparaison, dans un raisonnement humain, ce genre de commande pourrait se traduire par "J'irais me promener s'il fait beau." Le choix est binaire : une condition est vraie, l'autre est fausse. A partir de là, je ne sors que s'il fait beau.

Dans les faits, la commande qui a provoqué le bug chez Apple était la suivante : "goto fail". A partir de là, le SSL était brisé et n'importe quel hackeur pouvait donc récupérer les données de n'importe qui.

Il n'existe que peu de moyen de se protéger, en vérité, pour ne pas dire aucun. On peut prendre des précautions, comme éviter les réseaux publics (un réseau privé est sûr, si tant est que votre voisin ne soit pas un pirate), ce qui passe notamment par désactiver la recherche wifi automatique intégrée aux iPhones. Il s'agit également d'éviter au maximum tous les services concernés (et la faille se situant particulièrement haut, ils sont nombreux), tels que Safari ou les Boites Mails intégrés à Apple. Mais tant que la mise à jour, déjà proposée pour iOS n'est pas faite, il n'existe aucune protection vraiment fiable et définitive.


source: http://www.atlantico.fr/decryptage/ios-706-tres-inquietante-faille-securite-apple-que-revele-derniere-mise-jour-pour-iphone-frederic-jutant-992414.html#V0OcXxubCjm8IbGz.99

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Top 10 des virus informatiques les plus dangereux en 2016

Alors que toutes nos données deviennent numériques, les hackers redoublent d’ingéniosité pour développer des virus informatiques toujours plus performants et dangereux. Si vous n’avez pas installé d’anti-virus sur votre ordinateur, ce top 10 des pires virus connus en 2016 devrait finir de vous convaincre de vous équiper… Un virus informatique est un programme autoréplicatif à la base non malveillant, mais aujourd’hui le plus souvent additionné de code malveillant par le pirates informatiques ou “hackers”. Conçu pour se propager à d’autres ordinateurs en s’insérant dans des logiciels légitimes, il peut perturber plus ou moins gravement le fonctionnement de l’ordinateur infecté. Il peut se répandre par tout moyen d’échange de données numériques comme les réseaux informatiques et les cédéroms, les clefs USB, les smartphones… En 2016, les hackers ne manquent pas de créativité et continuent de développer des virus informatiques de plus en plus performants. Ces derniers leu
Enregistrer un commentaire
Lire la suite

"Le pouvoir de Google est inégalé dans l'Histoire"

Alors que Bruxelles sévit contre le moteur de recherche "ultra-dominant", le lobbyiste Jacques Lafitte souhaite qu'il change d'attitude.  Le Point.fr. La Commission s'apprête à notifier des griefs à Google. Pourquoi est-ce important ? Jacques Lafitte. Google est en position ultra-dominante sur le marché de la recherche généraliste sur Internet depuis déjà dix ans. Petit à petit, Google a dominé certaines recherches spécialisées comme les recherches géographiques. Google possède aussi YouTube, dont le pouvoir est gigantesque. Demain, il sera présent dans des domaines encore plus sensibles comme les finances personnelles et la santé. Et Google abuse de sa position dominante d'une foule de façons, parfois subtiles, parfois violentes, et au total diaboliquement efficaces. Certains érudits sont tentés de comparer Google au Big Brother de George Orwell ; moi, je constate surtout le carnage au quotidien, avec les sociétés novatrices comme 1plusV &
Enregistrer un commentaire
Lire la suite

Un million de comptes Google compromis à cause d’un virus sur mobiles

Le spécialiste en sécurité informatique CheckPoint a découvert un nouveau malware qui infecterait plus de 13.000 smartphones Android par jour par le biais de fausses applications. L’équipe de recherche de Check Point avait déjà rencontré le code de Gooligan dans l’application malveillante SnapPea l’année dernière. En août 2016, le logiciel malveillant est réapparu sous la forme d’une nouvelle variante et aurait depuis infecté plus d’un million de smartphones Android à travers le monde. Selon CheckPoint, 57% des appareils infectés seraient situés en Asie, et seulement 9% en Europe. Le danger ici vient du fait qu’une fois installé, le malware est capable de “rooter” la machine et de dérober les adresses email et les jetons d’authentification qu’elle stocke. Concrètement, plus d’un million de comptes Google auraient ainsi été compromis. Outre dérober les informations, les pirates profitent également du piratage pour générer des revenus frauduleux en installant des
Enregistrer un commentaire
Lire la suite