sindbad001
27/02/2014, 15h26
Due à une erreur dans l’écriture d’un programme, une faille est grande ouverte dans iOS 7 pour pirater un Mac, un iPhone ou un iPad pour un malfaiteur qui se trouverait connecté au même réseau local, un spot Wi-Fi par exemple. Faille comblée par une mise à jour.
http://fr.cdn.v5.futura-sciences.com/builds/images/thumbs/b/bdea023918_41194_iphone5_Double.jpgLes iPhone sont concernés par une faille découverte dans iOS 7, mais ils ne sont pas les seuls : des iPad, des iPhone Touch et les Mac aussi.
Apple (http://www.futura-sciences.com/magazines/high-tech/infos/actu/d/informatique-portail-apple-dedie-developpeurs-t-il-vraiment-ete-pirate-47946/) a publié en urgence, vendredi soir, une mise à jour de sécurité (iOS (http://www.futura-sciences.com/magazines/espace/infos/dico/d/univers-io-3715/) 7.0.6) pour réparer une grossière erreur de programmation dans le code source (http://www.futura-sciences.com/magazines/high-tech/infos/dico/d/informatique-code-source-3961/) du logiciel (http://www.futura-sciences.com/magazines/high-tech/infos/dico/d/informatique-logiciel-561/) système. Le correctif est téléchargeable pour les iPhone (http://www.futura-sciences.com/magazines/high-tech/infos/actu/d/informatique-faille-securite-demontree-iphone-ipad-34503/), iPad (http://www.futura-sciences.com/magazines/high-tech/infos/dico/d/informatique-ipad-5902/) 2 et iPod (http://www.futura-sciences.com/magazines/high-tech/infos/dico/d/high-tech-ipod-3661/) Touch de dernière génération (5). Le système d’exploitation (http://www.futura-sciences.com/magazines/high-tech/infos/dico/d/informatique-systeme-exploitation-11820/) des Mac (http://www.futura-sciences.com/magazines/high-tech/infos/dico/d/high-tech-mac-1746/) devrait être concerné aussi, mais la mise à jour n’a pas encore été réalisée.Avec ce bug, des tests de sécurité de la connexion ne sont pas effectués, ce qui permet à un pirate d’intercepter les communications entre l’ordinateur (http://www.futura-sciences.com/magazines/high-tech/infos/dico/d/informatique-ordinateur-586/) et le réseau. C’est donc une attaque du type « homme au milieu » qui devient possible, l’ordinateur visé échangeant ses données avec le pirate et non avec le serveur (http://www.futura-sciences.com/magazines/high-tech/infos/dico/d/internet-serveur-1950/) distant. Il faut pour cela que l’attaquant soit connecté au même réseau local. Un cybercafé ferait l’affaire, par exemple, et un pirate pourrait se faire passer pour n’importe quel site.http://fr.cdn.v5.futura-sciences.com/builds/images/rte/RTEmagicC_Apple_Bug_iOS7_Fevrier2014.bmp
L'erreur fatale : un « goto fail » en trop. Le second expédie à la fin de la procédure, zappant toutes les vérifications (if...) qui suivent. © Adam Langley
L'OS des Mac aussi atteint par la failleUn développeur d’Apple, Adam Langley (https://www.imperialviolet.org/), a publié sur son blog (http://www.futura-sciences.com/magazines/high-tech/infos/dico/d/internet-blog-3909/) le détail de cette erreur. Elle se situe dans une bibliothèque de procédures rendue publique et, plus précisément, dans une routine servant à vérifier la sécurisation d’une communication. On y trouve une instruction « goto fail » répétée deux fois de suite par erreur.L’effet est dévastateur. La première occurrence est l’instruction à suivre au cas où la condition précédente est réalisée. C’est donc le « sinon » d’un test de type « si condition alors faire ceci ». La seconde occurrence, elle, est considérée comme l’instruction suivante. Elle est donc toujours exécutée. À cet endroit, ce sera toujours « goto fail ». Le « fail » en question est une balise en fin de procédure, qui prépare l’envoi des valeurs indiquant s’il y a eu erreur ou non. Toutes les vérifications se trouvant à la suite de ce « goto » intempestif ne seront jamais exécutées : ce sont les portes (http://www.futura-sciences.com/magazines/maison/infos/dico/d/maison-porte-10855/) ouvertes pour un pirate.« Ce genre de bug subtil est un cauchemar, commente Adam Langley dans son billet. Je pense que c’est juste une erreur. » D’après lui, OS X 10.9 serait atteint lui aussi (donc les Mac (http://www.futura-sciences.com/magazines/high-tech/infos/actu/d/internet-reseau-botnets-decouvert-chez-mac-38103/)), de même que« certaines versions de iOS 6 ».
http://fr.cdn.v5.futura-sciences.com/builds/images/thumbs/b/bdea023918_41194_iphone5_Double.jpgLes iPhone sont concernés par une faille découverte dans iOS 7, mais ils ne sont pas les seuls : des iPad, des iPhone Touch et les Mac aussi.
Apple (http://www.futura-sciences.com/magazines/high-tech/infos/actu/d/informatique-portail-apple-dedie-developpeurs-t-il-vraiment-ete-pirate-47946/) a publié en urgence, vendredi soir, une mise à jour de sécurité (iOS (http://www.futura-sciences.com/magazines/espace/infos/dico/d/univers-io-3715/) 7.0.6) pour réparer une grossière erreur de programmation dans le code source (http://www.futura-sciences.com/magazines/high-tech/infos/dico/d/informatique-code-source-3961/) du logiciel (http://www.futura-sciences.com/magazines/high-tech/infos/dico/d/informatique-logiciel-561/) système. Le correctif est téléchargeable pour les iPhone (http://www.futura-sciences.com/magazines/high-tech/infos/actu/d/informatique-faille-securite-demontree-iphone-ipad-34503/), iPad (http://www.futura-sciences.com/magazines/high-tech/infos/dico/d/informatique-ipad-5902/) 2 et iPod (http://www.futura-sciences.com/magazines/high-tech/infos/dico/d/high-tech-ipod-3661/) Touch de dernière génération (5). Le système d’exploitation (http://www.futura-sciences.com/magazines/high-tech/infos/dico/d/informatique-systeme-exploitation-11820/) des Mac (http://www.futura-sciences.com/magazines/high-tech/infos/dico/d/high-tech-mac-1746/) devrait être concerné aussi, mais la mise à jour n’a pas encore été réalisée.Avec ce bug, des tests de sécurité de la connexion ne sont pas effectués, ce qui permet à un pirate d’intercepter les communications entre l’ordinateur (http://www.futura-sciences.com/magazines/high-tech/infos/dico/d/informatique-ordinateur-586/) et le réseau. C’est donc une attaque du type « homme au milieu » qui devient possible, l’ordinateur visé échangeant ses données avec le pirate et non avec le serveur (http://www.futura-sciences.com/magazines/high-tech/infos/dico/d/internet-serveur-1950/) distant. Il faut pour cela que l’attaquant soit connecté au même réseau local. Un cybercafé ferait l’affaire, par exemple, et un pirate pourrait se faire passer pour n’importe quel site.http://fr.cdn.v5.futura-sciences.com/builds/images/rte/RTEmagicC_Apple_Bug_iOS7_Fevrier2014.bmp
L'erreur fatale : un « goto fail » en trop. Le second expédie à la fin de la procédure, zappant toutes les vérifications (if...) qui suivent. © Adam Langley
L'OS des Mac aussi atteint par la failleUn développeur d’Apple, Adam Langley (https://www.imperialviolet.org/), a publié sur son blog (http://www.futura-sciences.com/magazines/high-tech/infos/dico/d/internet-blog-3909/) le détail de cette erreur. Elle se situe dans une bibliothèque de procédures rendue publique et, plus précisément, dans une routine servant à vérifier la sécurisation d’une communication. On y trouve une instruction « goto fail » répétée deux fois de suite par erreur.L’effet est dévastateur. La première occurrence est l’instruction à suivre au cas où la condition précédente est réalisée. C’est donc le « sinon » d’un test de type « si condition alors faire ceci ». La seconde occurrence, elle, est considérée comme l’instruction suivante. Elle est donc toujours exécutée. À cet endroit, ce sera toujours « goto fail ». Le « fail » en question est une balise en fin de procédure, qui prépare l’envoi des valeurs indiquant s’il y a eu erreur ou non. Toutes les vérifications se trouvant à la suite de ce « goto » intempestif ne seront jamais exécutées : ce sont les portes (http://www.futura-sciences.com/magazines/maison/infos/dico/d/maison-porte-10855/) ouvertes pour un pirate.« Ce genre de bug subtil est un cauchemar, commente Adam Langley dans son billet. Je pense que c’est juste une erreur. » D’après lui, OS X 10.9 serait atteint lui aussi (donc les Mac (http://www.futura-sciences.com/magazines/high-tech/infos/actu/d/internet-reseau-botnets-decouvert-chez-mac-38103/)), de même que« certaines versions de iOS 6 ».