Mise à jour Apple : une nouvelle surprise sécurité !

Protection des donnéesResponsables ITSécurité MacAppleiOSMacSécurité
mise a jour apple

Mise à jour Apple : une nouvelle surprise sécurité !

Apple n’utilise pas pour ses mises à jour les fameux “Patch Tuesday”, mais plutôt des «Update Surprisedays» !mise à jour apple

Le mercredi 17 Septembre 2014 était l’une de ces journées surprises !

Tout comme Sophos, vous avez probablement reçu une notification concernant une mise à jour Apple cette semaine, envoyées entre mercredi et Jeudi, en fonction de l’endroit où vous vivez. Cette dernière se composait de 7 éléments :

Soyez attentifs, car cette mise à jour Apple est relativement importante. En effet, je suis un utilisateur de Mavericks, avec Xcode et Safari, et les mises à jour pour ces derniers font 3.5 Go à eux 3 !

Je dois reconnaître que j’apprécie beaucoup la mise à jour Apple OSX Combo, et je l’utilise dès que je peux. Cette mise à jour Apple, dans le cas de l’OSX 10.9.5, inclue tous les fichiers dont vous avez besoin pour mettre à jour n’importe quelle version de l’OSX 10.9.x, et ce à partir de la version de base 10.9.

La mise à jour Apple Combo est beaucoup plus importante en terme de taille (982 Mo cette fois, au lieu de 275 Mo pour la version qui ne peut mettre à jour qu’à partir de la version 10.9.4).

La mise à jour Apple Combo est une garantie très efficace, dans le cas où vous voulez réinstaller OSX de zéro.

Vous pouvez ainsi, à partir d’une  version OSX 10.9 de base, installer directement la dernière version la plus aboutie, sans passer par toutes les versions intermédiaires.

Problèmes de sécurité Apple

Les mises à jour Apple pour iOS et OSX différent, étant donné qu’elles concernent, pour iOS les nouvelles fonctions, et pour OSX la sécurité :

mise a jour apple

Ceci n’est pas surprenant car iOS n’est pas simplement une mise à jour Apple, mais une nouvelle version complète du système d’exploitation.

Cependant, beaucoup de patches sécurité, présents au sein de l’OSX 10.9.5, sont également intégrés dans iOS8.

Même si vous ne voulez pas des nouvelles fonctions qu’offre iOS (et il y en a vraiment des centaines : de l’appareil photo en passant par Siri, ou encore une nouvelle application santé, ou un partage sur iCloud plus facile), il est fortement conseillé de mettre à jour votre système, ne serait-ce que pour les patches sécurité.

Cette liste de bugs n’est pas vraiment motivante pour vous inciter à installer la mise à jour Apple, mais elle ne doit pas non plus vous laisser à la traîne, et vous mettre en danger !

Plus de 40 vulnérabilités ont été traitées, certaines d’entre elles couvertes par 55 , dont 10 qui permettaient l’exécution de code à distance, et 3 en particulier au niveau du noyau central.

En fait, cette liste de bugs ressemble plutôt à une liste de courses interminable, ou encore à un glossaire spécialisé dans les vulnérabilités :

Nouvelle version pour la sécurité du Wi-Fi sur iOS

Heureusement, un des bugs qui a été patché, concernait une faille de sécurité au niveau des risques provenant de l’extérieur, notamment le comportement de tierce personne.

Comme nous l’avons écrit en juin dernier, Apple a décidé d’empêcher ses équipements de se connecter automatiquement, dès que vous passez à proximité d’une borne Wi-Fi.

Si votre téléphone recherche un réseau Wi-Fi auquel se connecter, il transmet l’adresse MCA (Media Access Code), dans tous les paquets qui transitent à travers le réseau Wi-Fi.

Cette adresse MAC est une séquence unique de 6 octets, programmés et stockés dans votre carte réseau. Bien qu’elle ne soit pas suffisante pour vous identifiez complètement, elle permet à des commerces, par exemple, ou bien à une galerie commerciale, d’identifier que la même personne qui vient d’acheter des pantalons en coton dans une boutique de vêtements pour homme, est maintenant en train de se promener dans le rayon des yaourts d’un magasin d’alimentation.

Les marketeurs adorent ce genre d’informations, en particulier parce qu’elles peuvent fournir beaucoup d’informations, sans que vous en soyez conscients, et sans que vous vous soyez forcément connectez à une borne Wi-Fi.

Ainsi, dans l’iOS 8, le système d’exploitation utilise des adresses aléatoires et masquées, lorsque votre équipement recherche une borne Wi-Fi. Le système bascule définitivement sur votre adresse MAC réelle, uniquement au moment où la décision de se connecter est effective.

[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]

Apple continuera de savoir où vous êtes, bien sûr, et pourra utiliser ces informations pour vous envoyer de la publicité. Cependant, votre relation avec Apple est plus claire, car vous avez délibérément choisi un équipement Apple, qui fonctionne sous un logiciel de la même marque.

[/vc_message][/vc_column][/vc_row]

Des patches similaires pour OSX

Comme nous l’avons mentionné plus haut, beaucoup de patches pour iOS, sont aussi disponibles pour OSX Mavericks. En effet, OSX et iOS partagent une bonne partie de leurs codes source.

[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]

Certains patches concernant iOS, ne peuvent s’appliquer à OSX. En effet, OSX n’a pas,par exemple, l’écran de verrouillage qui est présent sur l’iPhone.

[/vc_message][/vc_column][/vc_row]

A noter un détail important concernant cette mise à jour, si vous possédez OSX et iOS, est que ces dernières, pour Safari sur Mac, sont disponibles séparément.

Par contre, la dernière version de Safari fait partie de la mise à jour globale d’iOS.

Ainsi, si vous préférez, comme moi, télécharger le Combo pour OSX, et l’installer vous-même, rappelez-vous d’aller récupérer, au préalable, la dernière version de Safari 7.1, en vous rendant sur « mise à jour de logiciels » en cliquant sur l’icône menu de votre Mac.

Dans OSX Mavericks, la mise à jour des logiciels est gérée par l’App Store, qui est le seul endroit où vous pouvez obtenir les dernières versions de Safari en ce moment.

En conclusion

Si vous êtes un utilisateur OSX (comme mentionné ci-dessus, Mavericks, Lion, Mountain Lion et OSX serveur, ont tous été patchés), vous avez vraiment besoin de cette mise à jour.

Il y a de nombreuses failles de sécurité qui sont à présent clairement identifiées, et qui méritent d’être éliminées.

Cette dernière mise à jour couvre (Exécution de code à distance), Information Disclosure (divulgation de données) qui permet à des pirates de bypasser l’, et (niveau des privilèges).

En les combinant, ces failles peuvent devenir un cocktail mortel, dans les mains de pirates qui voudraient s’en prendre à voter ordinateur.

Si vous êtes un utilisateur iOS, pour de simples raisons de sécurité, cette mise à jour est indispensable, et la plupart des gens devrait se procurer iOS8 sans plus tarder.

Cependant, juste un petit rappel : dans le monde moderne, tel que le voit Apple, il n’y a pas de marche arrière possible concernant iOS. Si vous n’aimez pas iOS au final, revenir à la version précédente est impossible, ou bien très compliqué.

Ainsi, nous encourageons l’utilisation de la dernière mise à jour Apple pour votre système. Cependant, si vous avez des applications importantes pour votre entreprise ou votre business, nous vous conseillons de vérifier avec votre service informatique, les impacts possibles de cette mise à jour Apple (ou bien avec celui qui a développé l’application, si vous n’avez pas d’équipe technique dédiée en interne).

En cas de doute, n’hésitez pas à vérifier votre application.

Pour allez plus loin

Billet inspiré de : “Apple ships a sevenfold security surprise, including iOS 8 and OS X 10.9.5” par Paul Ducklin de Naked Security.

Partagez “Mise à jour Apple : une nouvelle surprise sécurité !” avec http://bit.ly/1rcygYF

Leave a Reply

Your email address will not be published.