Suivez-nous

Système

Faille SSL iOS et OS X : si facile à exploiter pour voler les données

iMike

Publié le

 

Par

bug-6.jpg

La faille SSL qui touche iOS depuis la version 6, et OS X depuis Mavericks, est facilement exploitable. Baptisée « gotofail », cette vulnérabilité a heureusement été bouchée sous iOS, tandis que les utilisateurs Mac attendent avec une impatience non feinte qu’Apple se bouge un peu pour OS X. Aldo Cortesi, spécialiste en sécurité, a fait la démonstration qu’il était relativement simple de tirer profit de cette faille : il ne lui a fallu qu’une journée pour mettre au point un malware capable de siphonner pratiquement toutes les données chiffrées provenant du trafic HTTPS d’iOS (avant iOS 7.0.6) et OS X Mavericks, notamment les identifiants, les mots de passe, et même les mises à jour d’apps. En ne cherchant pas bien loin, il arrive même à récupérer les données iCloud (dont KeyChain), les infos Calendrier et Rappels, les mises à jour Localiser mon Mac, le trafic provenant d’apps utilisant des certificats de pinning comme Twitter…

Cortesi explique qu’un outil comme mitmproxy bien programmé permet à un hacker d’intercepter, de consulter et de modifier tout trafic sensible. Fort heureusement pour notre sécurité, il ne dévoilera pas précisément comment il faut s’y prendre, mais étant donné l’aspect très basique de gotofail, les pirates ont pu s’en donner à coeur joie.

Autant dire qu’Apple avait devant les yeux une faille profonde comme la fosse des Mariannes et qu’il faut encore attendre pour qu’OS X soit patché. La NSA et autres organismes à trois lettres américains ont dû se gaver en exploitant cette vulnérabilité indigne d’un débutant.

Source