La faille SSL d’iOS, présente aussi sur OS X Mavericks
Apple proposait avant hier une mise à jour iOS permettant de corriger une faille SSL, ce qui laissait entendre qu’un individu mal intentionné aurait pu récupérer les données échangées via l’application Mail ou Safari à partir de l’iPhone.
Si l’on pouvait estimer la réaction d’Apple plutôt rapide, la découverte de cette même faille sur OS X Mavericks laisse supposer que le problème était bien plus sensible qu’il ne pouvait paraître de prime abord. De fait, le bout de code incriminé sensé valider l’authentification SSL renvoi systématiquement dans les limbes, une erreur de codeur débutant qui prêterait presqu’à rire si les conséquences possibles pouvaient ne pas être aussi graves et s’il ne s’agissait d’Apple.
Pour autant, si la nature de l’erreur est grossière, la gravité d’une faille se mesure à plusieurs facteurs, dont le temps pendant lequel la faille a été rendue “disponible”, la connaissance de la faille (si elle n’est découverte qu’au moment de sa correction, ce n’est dans les faits plus une faille puisqu’elle n’a pas eu le temps d’être exploitable), et la réactivité à proposer un patch ou une mise à jour qui règle le problème.
Si l’on prend le cas d’iOS, la connaissance “publique” de la faille semble avoir été conjointe à la présentation de la mise à jour qui la corrigeait (soit avant-hier). Au vu de la vitesse de mise à jour de la base iOS, autant dire que la gravité réelle de la faille est sans doute toute relative. Le problème est beaucoup plus épineux du côté de Mavericks, même si la seule présence de la faille SSL sur ce système indique au moins que l’erreur en elle-même ne peut dater au pire que du lancement de Mavericks lui-même. Ce scénario n’est pas forcément le plus probable tant l’on voit mal comment une telle béance n’aurait pas été portée aux oreilles d’Apple, voire même à celles du public, longtemps avant qu’un premier correctif arrive sous iOS. Il est donc tout à fait possible, pour ne pas dire probable, qu’une ancienne mise à jour de sécurité ou liée au réseau (il y en a déjà eu pour Mavericks) soit à l’origine du problème.
Pour autant, Apple a déjà annoncé hier dans la soirée qu’une mise à jour de Mavericks arriverait très vite. Alors certes, la faille est béante, et sa nature absolument indigne d’une entreprise comme Apple, pour autant, la gravité intrinsèque de la faille n’aura sans doute pas de retombées réelles sérieuses pour Apple, si ce n’est sur le plan de l’image et de l’orgueil. Apple se faisait fort en effet ces dernières années de se montrer à la pointe des questions de sécurité, embauchant même des spécialistes du secteur reconnus; un simple bout de code vient d’ébranler toute cette belle stratégie.
