Goto Fail : une faille sur iOS
Goto fail, c’est le petit nom donné à une grosse faille de sécurité dans le code d’Apple. A cause d’une négligence dans le code source de la librairie Secure Transport, la sécurité des connexions chiffrées SSL/TLS n’était plus assurée sur iOS et Mac OS X.
Apple déploie un correctif pour iOS
En général, dans le but de sécuriser les échanges de données, une surcouche SSL (Secure Sockets Layer) ou TLS (Transport Layer Security) est utilisée sur la plupart des sites internet afin de crypter les communications. Or, il y a quelques jours, Apple a déployé une mise à jour de son système iOS dont le but est de corriger une faille dans ce fameux protocole SSL/TLS. La marque à la pomme explique ainsi que « Secure Transport échouait à valider l’authenticité de la connexion. Un assaillant avec une position privilégiée sur le réseau pouvait capturer ou modifier des données dans des sessions protégées ».
A l’origine de ce bug se trouve une simple « coquille » dans le script du navigateur Safari : la ligne de code « goto fail », qui assure le renvoie en cas d’échec de l’authentification, était dupliquée. Un doublon malheureux qui fait tout bonnement sauter toutes les autres étapes de vérification après un premier échec.
Une opportunité pour les pirates
Ce n’est pas la première fois qu’une faille est détectée dans un logiciel, mais le « goto fail » est potentiellement très dangereux. En effet, dans la mesure où ce doublon dans le code empêche de vérifier correctement l’identité de l’utilisateur, une personne mal intentionnée peut intercepter et déchiffrer les informations que vous transmettez avec votre appareil.
Un hacker utilisant une stratégie de type man-in-the-middle, en créant par exemple un hotspot Wifi public, peut ainsi assez facilement obtenir en clair des informations financières lors de paiements sur des sites censés être sécurisés. Le site Forbes précise d’ailleurs que beaucoup d’autres applications pourraient être compromises : Mail, Twitter, iMessage, Facetime… et toutes celles qui partagent la même librairie sous iOS et OS X !
Comment corriger le « goto fail » ?
Pour vérifier dans un premier temps si vous êtes concerné par la faille, Apple met à disposition un « site test » : il vous suffit de vous rendre sur le site Gotofail.com avec votre appareil Apple à partir du navigateur Safari.
Ensuite, la manière la plus simple de se prémunir du « goto fail » est de faire une mise à jour de votre terminal. Sur un iPhone 4 ou plus récent, ainsi que sur les dernières générations d’iPod et d’iPad, il vous suffit d’aller dans le menu « règlage », de naviguer sur l’onglet « général » puis enfin sur « mise à jour logicielle ». Vous pouvez également effectuer la mise à jour en reliant votre appareil à iTunes, tout simplement. Dans tous les cas, la dernière version de iOS incluant le correctif sera installée, éliminant de facto la porte d’entrée sur votre appareil.
Cependant, des chercheurs en sécurité ont également identifié la faille « goto fail » sur les iMac fonctionnant avec la version 10.9 Mavericks de OS X. Une information confirmée par Apple auprès de l’agence presse Reuters. Et pour ce cas de figure, il n’existe pour le moment aucun correctif. Apple a affirmé travailler sur cette faille et qu’un « correctif sera disponible très bientôt».
EDIT du 26/02 : La mise à jour OS X 10.9.2 permet de corriger la faille « goto fail. Cette mise à jour de l’OS X Mavericks, bouclé en urgence pour apporter un patch correctif au goto fail, propose également quelques nouveautés sur FaceTime et iMessage.