Le bug de sécurité “goto fail” concerne aussi Mac OS 10.9 !

Le bug de sécurité “goto fail” concerne aussi Mac OS 10.9 !

24 février 2014

Mise à jour du 25 février : la mise à jour de Mac OS  X Mavericks (10.9.2) vient d’être mise en ligne par Apple. Vous pouvez effectuer cette mise à jour soit via “Mise à jour de logiciels” si vous êtes sûr de la sécurité de votre connexion (pas depuis un accès public), soit à l’adresse suivante : http://support.apple.com/kb/DL1725?viewlocale=fr

Apple a déployé le 21 février dernier une mise à jour critique pour iOS 6 et 7, comblant une faille de sécurité SSL majeure. Sans entrer dans des détails techniques indigestes pour les “non-programmeurs”, cette faille est due à la duplication erronée d’une ligne de code :

if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
goto fail;
goto fail; /* CETTE LIGNE EST EN TROP... */
if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
goto fail;
err = sslRawVerify(...);

Cette erreur fait qu’une vérification indispensable pour valider la sécurité de la connexion peut être omise.

Tous les utilisateurs de ces versions d’iOS doivent effectuer cette mise à jour, sous peine de s’exposer à des risques d’interception de données personnelles particulièrement “sensibles”. La mise à jour pour Mac OS 10.9 (Mavericks) n’est pas disponible à ce jour (24/02/2014)

Pour rappel, SSL (Secured Socket Layer) est le protocole le plus utilisé pour sécuriser des données lors de leur transport sur internet ou autre réseau informatique. C’est lui qui sécurise votre connexion avec votre “banque en ligne”, la plupart de vos “espaces personnels” (entre autres : impôts, sites marchands, webmail, etc.).

Que faire si vous utilisez Mac OS 10.9 ?

Apple promet une mise à jour “très prochaine” de Mac OS 10.9, sans plus de précisions. Ce qui est “regrettable”, pour ne pas dire que c’est une erreur très sérieuse, c’est que les détails concernant la faille dans iOS ont été divulgués et que cette faille est la même dans Mac OS 10.9. C’est un peu comme si vous indiquiez à des cambrioleurs potentiels une faille dans votre système d’alarme (qui sera comblée “très bientôt”, dépêchez-vous !…). Ces mises à jour auraient bien sûr dû être déployées simultanément.

Cette faille de sécurité rend vulnérables plusieurs applications, dont Safari, Mail, Facetime, Messages, etc. (toutes les applications utilisant le code fautif).

Même l’application “Mise à jour de logiciels” est concernée, ce qui signifie qu’il est serait techniquement possible pour un attaquant de diffuser une fausse mise à jour. Pas simple à implémenter, mais pas impossible, d’où l’importance de n’utiliser cette application que depuis un réseau sûr (chez vous…) et en aucun cas depuis un point d’accès public, à moins que vous n’utilisiez un VPN.

Selon certaines sources, Mac OS 10.9.2 devrait être déployé aujourd’hui ou demain (24 ou 25/02). D’ici-là, nous vous recommandons :

  • de ne vous connecter depuis un point d’accès public que si vous utilisez un VPN.
  • d’utiliser Chrome ou Firefox plutôt que Safari.
  • d’utiliser votre webmail plutôt que Mail (pas depuis Safari !…)

Et souhaitons que “very soon” signifie vraiment très bientôt !