Faille de sécurité chez Apple : les pièces jointes non cryptées !

Apple est sous pression pour patcher une faille de sécurité de l’iOS7, depuis qu’un expert, Andréas Kurtz, a révélé l’absence de cryptage des pièces jointes des emails envoyés à partir des iPhones et iPads. En effet, ces dernières deviennent accessibles par n’importe quel hacker avec des techniques de piratage bien connues.

En général, Apple ne communique pas au sujet d’une faille de sécurité avant qu’un patch ne soit disponible. Cependant, dans ce cas, Apple a confirmé la vulnérabilité et a précisé qu’il travaillait sur une solution.

Toutefois, il semblerait que ce ne soit pas une faille de sécurité dramatique. En effet, un hacker ne peut pas utiliser ce bug pour lire vos pièces jointes à distance. Malgré tout, la menace était suffisamment sérieuse pour pousser Apple à réagir.

Le développement des patches par Apple en nette amélioration ?

Apple est souvent critiqué par la communauté « sécurité » au sujet de la lenteur de ses réactions face aux vulnérabilités, et du faible nombre de patches délivrés.

Cependant, le géant de la Silicon Valley semble répondre, ces derniers mois, de manière plus efficace que par le passé, avec davantage de mises à jour de sécurité.

L’iOS7 a déjà reçu 5 mises à jour majeures (iOS 7.0.1 – 7.0.4 et iOS 7.1.1), incluant de nombreuses solutions apportées à des failles de sécurité.

Dans l’iOS 7.0.2, Apple a résolu 2 bugs qui permettaient à n’importe qui de passer des coups de téléphone, ou de partager des photos depuis l’écran verrouillé, sans l’utilisation du moindre mot de passe.

Avec un délai de 4 semaines pour résoudre une faille de sécurité, vous pouvez vous demander si Apple n’a pas eu assez de temps, et ne devrait pas accélérer le développement de son patch, étant donné que cette faille a déjà  largement attiré l’attention.

Microsoft, par exemple, a sorti la semaine dernière un patch pour , pour toutes ces versions d’Internet Explorer, après seulement quelques jours (même pour IE6 et XP).

“Cette faille zero-day d’internet explorer (CVE-2014-1776), était déjà activement exploitée dans certaines attaques ciblées”, a déclaré Microsoft.

Apple a réalisé récemment une rectification rapide d’une faille de sécurité sérieuse, au niveau de son cryptage. Le bug, dénommé “Goto fail”, provenait d’une ligne de code erronée, qui répétait la syntaxe « Goto fail ».

Ce « Goto fail » supplémentaire a provoqué le contournement d’une importante vérification au niveau sécurité. Ainsi, un site d’hameçonnage émettant un faux certificat TLS, pouvait tromper l’OS X en lui donnant un feu vert !

Apple a découvert ce bug dans l’OS X, et a sorti un patch pour iPhones ainsi que pour les équipements sur une base OS X. Cependant, les experts ont rapidement découvert que cette erreur n’avait pas été patchée dans l’OSX 10.9 Mavericks pour Mac.

Apple a réagi en délivrant, pour ce bug, un patch sécurité pour Mavericks en seulement 3 jours !

Sécurisez vos équipements Apple

Le moyen le plus simple, pour sécuriser vos iPhones et iPads, est d’activer la protection de données, et d’utiliser un mot de passe de verrouillage.

Sur l’iPhone 5s, vous avez l’option permettant l’authentification par empreinte digitale, à la place du mot de passe, dont Apple vante les vertus hautement sécuritaires !

Cependant, même un lecteur d’empreinte digitale peut être hacké. En effet, des experts ont prouvé qu’il était possible de créer une empreinte digitale factice, à partir d’une photo de l’empreinte de la victime.

D’ailleurs, la même astuce peut être utilisée sur le Samsung Galaxy S5.

L’utilisation d’un mot de passe sécurisé, le plus complexe possible, est vraiment primordial.

Mais attention, une protection de données optimale ne se limite pas à l’utilisation d’un mot de passe ou d’un code. Le 2FA (two-factor ou two-step authentification) vous offre une couche de sécurité supplémentaire.

Dès que possible, vous devez activer le 2FA pour vos applications mobiles et surtout vos transactions bancaires.

Vous pouvez écouter notre Podcast Sophos Techknow à propos du 2FA.

Si vous êtes un utilisateur Apple, préoccupé par la sécurité de votre Mac, vous pouvez également lire l’article sur les 5 astuces pour améliorer la sécurité sur Mac.

Billet inspiré de : “Apple admits flaw in email attachment encryption on iPhones and iPads” par John Zorabedian de Naked Security.

Partagez “Faille de sécurité chez Apple : pièces jointes non cryptées !” avec http://bit.ly/1v6dOZf