Votre nom :
Votre email :
Email du destinataire :

Possesseurs d’iPhone mettez votre Os à jour !

La dernière mise à jour de iOs corrige une importante faille de sécurité qui concerne les sites censés être protégés par SSL.

Apple a deployé hier la version 7.0.6 de iOS. Celle-ci a pour unique objet la correction d’une faille touchant les connexions protégées par le protocole SSL. Celui-ci est utilisé dans toutes les connexions du type HTTPs, FTPs, IMAPs et POPs par exemple. Consultez notre article sur le chiffrement. Le même bug est susceptible de toucher les ordinateurs équipés de OS X, pour lequel aucun correctif n’a encore été publié.

Nous nous attacherons, dans cet article, à déterminer les risques pour vous et vos données, et à vous aider à adopter le bon comportement en attendant l’application d’un correctif.

Quel est le problème ?

Le protocole SSL fonctionne selon un principe d’échange de clés et de certificat. Une autorité de certification agréée et reconnue délivre un certificat à un site internet pour lui permettre d’offrir à ses visiteurs des connexions chiffrées. Un connexion chiffrée n’est pas décryptable si l’on ne possède pas la clé qui a servie à la chiffrer.

La connexion à un serveur web ou bien à un serveur d’emails doté d’une protection SSL s’effectue en plusieurs étapes, la première d’entre-elles étant l’envoi par le serveur de son certificat. Ce certificat est alors vérifié par le client, au moins sur sa forme et son authenticité. La principale vérification porte sur la correspondance entre le nom de domaine du site internet et le certificat. Si le certificat ne correspond pas au domaine, il est refusé par le client. Dans le cas des appareils équipés de iOs et Os X, le mécanisme de vérification de ce certificat est défaillant et peut conduire à considérer comme authentique des certificats qui sont falsifiés.

Quels sont les risques ?

Si vous vous connectez à un site internet qui exploite cette faille, celui-ci utilisera de manière frauduleuse le certificat d’un autre site internet, comme celui d’Apple par exemple, et là où votre ordinateur devrait détecter la supercherie, il acceptera la connexion. Moralité, si vous vous connectez à votre messagerie Google par le lien de bookmark habituel vous ne courrez aucun risque. Si vous utilisez votre ordinateur exactement comme d’habitude et utilisez les mêmes URL que d’habitude, vous ne risquez rien non plus.

En revanche, si vous faites partie des personnes qui utilisent Google comme un bookmark, c’est à dire qu’au lieu de saisir l’URL du site que vous voulez visiter dans la barre d’adresse de votre navigateur, vous tapez son nom dans le champ de recherche de Google, vous êtes davantage en danger. La raison est simple : lorsque vous saisissez l’URL du site dans la barre d’adresse vous accédez directement à celui-ci, sans intermédiaire. Si vous utilisez Google, vous risquez de cliquez sur un lien que vous pensez être celui du site que vous visitez habituellement ; « c’est toujours le premier de la liste » ; et qui en réalité ne l’est pas. En effet, à la faveur des algorithmes des moteurs de recherche, un lien peut être remplacé par un autre pour une même recherche si sa popularité à cru depuis la dernière recherche (sans compter les alea introduits par les moteurs de recherche pour améliorer l’équité dans les résultats de recherche).

Nous décourageons fortement l’usage du moteur de recherche pour accéder à un site dont vous connaissez l’adresse, vous prenez toujours un risque en faisant cela.

Ensuite, vous courrez un risque si vous vous connectez à internet depuis un autre réseau que le vôtre, ou si ce dernier a été piraté. Il est alors possible pour une autre personne connectée au même réseau de se faire passer pour la passerelle internet et de vous rediriger où bon lui semble. Cette technique s’appelle celle du man-in-the-middle (l’homme-au-milieu) et consiste pour une machine à usurper en toute transparence la place de la passerelle et à modifier à sa guise les messages transitant sur le réseau. Dans un tel cas de figure, il serait aisé pour le man-in-the-middle de vous envoyer sur un site maquillé comme celui de votre banque avec un certificat bidonné et votre navigateur n’y verrait que du feu. Cela pourrait aussi se produire avec votre messagerie Google : le pirate vous laisserait accéder tranquillement à votre messagerie mais, comme il se trouve entre Google et vous, et qu’il vous a fournit le certificat de chiffrement, il pourrait aisément déchiffrer tous vos emails et votre mot de passe.

Nous décourageons encore plus fortement la navigation sur des sites internet sensibles (banque, emails non chiffrés, vente en ligne) depuis des réseaux qui ne vous appartiennent pas, comme les hotspots.

En conclusion

Il est inutile de paniquer car ce problème ne vous nuira pas si vous êtes habitués à appliquer les bonnes pratiques énoncées régulièrement sur ce site :

  • Ne pas utiliser le moteur de recherche pour aller sur des sites dont vous connaissez l’adresse
  • Ne pas naviguer sur des sites sensibles, comme celui de votre banque, depuis un hotspot
  • Vérifier l’URL des sites que vous visitez, même si vous avez cliqué sur un lien dans un email
  • Etre vigilent sur les changements survenus sur un site internet que vous avez l’habitude de visiter
  • Mettre à jour très régulièrement votre système et ses logiciels
  • Ne pas utiliser de version piratée de votre système ou des logiciels (ceux-ci peuvent notamment comporter des chevaux de Troie ou des virus)

Suggestions de contenu lié à cet article
TAGS correctiffailleiOSmise à journavigationrisquesécuritéSSL

1 commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Protection anti-spam

«Le cheval blanc d'Henri IV est gris.»

Dans le texte ci dessus, de quelle couleur est le cheval blanc d'henri iv ?

Votre réponse :

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

23/02/2014 17:59

[…] La dernière mise à jour de iOs corrige une importante faille de sécurité qui concerne les sites censés être protégés par SSL. Apple a deployé hier la version 7.0.6 de iOS.  […]