La faille de sécurité SSL/TLS du Mac OS X corrigée « bientôt »

Dans des documents fuités d’Edward Snowden, la NSA se vantait déjà de pouvoir entrer dans n’importe quel iPhone. Vendredi, Apple a publié un correctif pour iOS, le système d’exploitation des iPhones et iPads, mentionnant uniquement qu’elle était liée au chiffrement SSL/TLS. Ce chiffrement est notamment utilisé pour toutes les connexions chiffrées avec des sites web (y compris bancaires) ou des serveurs de courriel.

Intéressés par ce manque de détails des chercheurs indépendants ont commencé à chercher l’origine de la faille. Il s’agit d’une erreur de programmation triviale mais subtile en C dans la fonction SSLVerifySignedServerKeyExchange où une instruction goto est dupliquée. Tout programmeur C a été maintes fois prévenu des dangers de cette instruction à éviter autant que possible. Cela montre que les compilateurs / vérificateurs de code ont encore bien des progrès à faire.

Du coup l’authentification du serveur SSL n’est pas effectuée. C’est la porte ouverte à des attaques malicieuses de type man in the middle (ou attaque de l’homme du milieu qui a pour but d’intercepter les communications entre deux parties, sans que ni l’une ni l’autre ne puisse se douter que le canal de communication entre elles a été compromis) à base de router ou d’accès Wi-Fi compromis.

Malheureusement, les chercheurs indépendants se sont aperçus que la faille de sécurité résidait aussi dans le système d’exploitation OS X, utilisé par les ordinateurs Mac.

La porte-parole d’Apple, Trudy Muller, le reconnaissait à Reuters :

« Nous sommes informés de ce problème et nous avons déjà un correctif logiciel qui sera distribué très prochainement. »

Le plus tôt sera le mieux car cette faille pourrait avoir des répercussions désastreuses pour les utilisateurs. Des pirates informatiques ou des agences de renseignements pourraient voler des informations et des fichiers sensibles, financières, personnelles ou professionnelles.

Les utilisateurs peuvent utiliser google chrome et mozilla Firefox qui n’utilisent pas la librairie de code compromis d’Apple, et ils devraient ne pas utiliser le navigateur Safari, iMessage ou FaceTime tant que le correctif n’aura pas été distribué et installé. Ils peuvent utiliser le site gotofail pour confirmer ou infirmer leur vulnérabilité.