Apple a discrètement corrigé une faille de certificat critique dans iOS, qui permet aux attaquants d'espionner les communications qui sont réellement protégées.
Aussi critique que soit le bogue, et aussi peu pratique que soit la publication d'un correctif tard, c'est la procédure standard pour Apple.
Mais un jour après la sortie du patch, un certain intérêt a été suscité lorsqu'on a appris que le bogue affectait non seulement le système d'exploitation iOS mobile d'Apple, mais aussi le traditionnel OSX. L'histoire s'est poursuivie la semaine dernière lorsqu'il est apparu qu'un bogue étrangement similaire avait été trouvé dans GnuTLS, un logiciel libre à source ouverte utilisé pour mettre en œuvre le cryptage dans diverses variantes de Linux et d'autres plates-formes.
De plus en plus de personnes enquêtaient sur les erreurs (notamment celle d'Apple), de plus en plus de voix se sont élevées dans les médias.
Vulnérabilité des systèmes d’exploitation Apple et Linux
L'erreur est subtile et presque impossible à détecter en examinant le code. Il est facile d'imaginer comment cela a pu se produire accidentellement. Et il aurait été trivialement facile pour une seule personne d'ajouter la vulnérabilité. Cela a-t-il été fait intentionnellement ? Il est impossible de dire que c'était le cas.
D'autres chercheurs ont été plus directs, affirmant que les erreurs de programmation qui ont conduit au bogue d'Apple, également connu sous le nom de "goto fail", pouvaient être rendues presque impossibles et étaient encore plus difficiles à ignorer lors de l'examen du code. Dans le climat politique actuel et les avantages potentiels de la vulnérabilité "goto fail", beaucoup ont spéculé que les bugs Apple et GnuTLS seraient très précieux pour tout espion.
Cependant, s'ils ont sans doute été découverts presque simultanément et ont un effet similaire, ils ont tous deux été créés de manière très différente. Un expert en cryptage bien connu, a enquêté sur le bug GnuTLS et pense qu'il s'agit d'une erreur de programmation, bien que stupide.
Les impacts de la vulnérabilité de cert Apple
Outre les théories de conspiration, cette faille de crypto-validation dans GnuTLS signifie que tous les produits Red Hat pour ordinateurs de bureau et serveurs, ainsi que toutes les installations Debian et Ubuntu (Linux), contiennent le bogue qui peut être exploité pour surveiller les communications sur ces machines. Elle affecte tous les systèmes à tous les niveaux. Non seulement les sessions Internet sécurisées (indiquées par le "https" dans la barre d'adresse) seraient affectées, mais aussi tous les programmes, téléchargements et toute autre communication cryptée utilisant GnuTLS.
Il faut cependant dire qu'un agresseur devrait avoir accès au réseau local de sa victime pour exploiter l'une de ces failles. Mais dans de bonnes circonstances, un agresseur pourrait l'utiliser pour réaliser une attaque de type "man-in-the-middle", où la victime pense qu'elle communique avec un service en ligne de confiance, mais envoie en fait des données directement à l'agresseur. Ces deux failles offrent donc un moyen idéal pour les criminels de voler les données de connexion et de surveiller la communication sur le réseau local.
En d'autres termes, il est possible de falsifier des informations de certificat qui permettraient à l'utilisateur de vérifier qui a développé le programme qu'il veut télécharger.
Que faire pour éviter toutes ces erreurs ?
Si vous utilisez Linux, votre ordinateur est probablement vulnérable à cette vulnérabilité. Il est recommandé d'installer la dernière version de votre distribution Linux le plus rapidement possible. Toutefois, si vous n'utilisez pas l'un des nombreux systèmes Linux disponibles, cela ne signifie pas que vous êtes protégé contre la vulnérabilité. En effet, GnuTLS est utilisé dans de nombreux cas et sur un nombre inconnu d'ordinateurs. La morale de l'histoire est la même que toujours : mettez à jour votre système et votre programme tôt et régulièrement.