Mises à jour Apple pour Mac et iPhone : 23 failles au niveau du noyau traitées !

La dernière série de mises à jour Apple est sortie, incluant macOS Sierra 10.12.4 et iOS 10.3.

Il existe également une mise à jour de Safari 10.1, installée automatiquement si vous mettez à jour Sierra, mais disponible en téléchargement séparé pour OS X El Capitan (10.11) et OS X Yosemite (10.10), qui reçoivent la mise à jour de sécurité 2017-001, plutôt que la version intégrale de maintenance.

Enfin, la suite iWork, composée de Pages, Keynote et Numbers (l’équivalent chez Apple de Word, Powerpoint et Excel), a également été mise à jour.

Les mises à jour Apple d’iWork portent essentiellement sur l’esthétique et les fonctions, mais incluent également un patch de sécurité qui traite une vulnérabilité intrigante, que nous aborderons plus loin.

Fait important, les mises à jour Apple d’iOS et macOS traitent un certain nombre de failles de sécurité révélées lors du récent concours Pwn2Own, ayant eu lieu en marge de la conférence CanSecWest à Vancouver, au Canada.

Tous les logiciels sur l’ordinateur concerné sont corrigés immédiatement avant le concours, donc même une attaque qui a fonctionné en laboratoire la semaine précédente sera effectivement bloquée le jour de la compétition.

En d’autres termes, Pwn2Own ne vise pas seulement à repérer les vulnérabilités qui pourraient être exploitables, mais aussi à explorer les techniques d’exploitation qui visent à créer de véritables failles de sécurité zero-day, qui fonctionneront même sur des systèmes correctement mis à jour.

Les récompenses proposées peuvent aller de centaines à des milliers de dollars chacune.

Tout le monde n’approuve pas l’approche concurrentielle “tout-pour-le-gagnant”, dans laquelle les vulnérabilités doivent être gardées secrètes durant des semaines voire des mois avant que l’événement ne commence.

Mais que vous le vouliez ou non, les concours bug bounty à haut risque, comme Pwn2Own, font partie intégrante aujourd’hui de l’univers de la cybersécurité en matière de “divulgation responsable”.

La “responsabilité” provient du fait que, pour mériter la récompense, la personne ayant trouvé le bug en question doit donner à l’éditeur concerné les détails complets de l’attaque, et garder ces détails confidentiels jusqu’à ce que l’éditeur ait eu le temps de corriger la faille.

Les récompenses élevées pour de nombreux bugs trouvés lors du Pwn2Own reflètent la valeur que ces derniers pourraient avoir aux yeux des cybercriminels, s’ils devaient les trouver avant tout le monde. Ainsi, les corrections en général suivent assez rapidement.

La version TL;DR de cette histoire est la suivante : au fur et à mesure que les correctifs Apple sont publiés, considérez ces derniers comme vitaux et assurez-vous de les installez dès que possible !

Si vous attendez votre tour dans le processus échelonné d’auto-update d’Apple, vous risquez de vous retrouver avec plusieurs jours de retard. Ainsi, nous vous recommandons de vérifier manuellement les mises à jour Apple dès à présent.

Sur un Mac, cliquez sur le Menu Apple | À propos de ce Mac | Mise à jour logicielle … puis cliquez sur la “flèche de mise à jour” bleue dans l’application App Store. Sur un iPhone ou un iPad, utilisez Paramètres | Général | Mise à jour logicielle, pour vous assurer d’avoir la dernière version. Lorsque nous avons effectué la mise à jour, les tailles des fichiers à télécharger étaient d’environ 1,5 Go pour macOS 10.12.4 et 650 Mo pour iOS 10.3. Comme cela est habituel pour les mises à jour de sécurité Apple, un redémarrage était nécessaire, et la mise à jour a pris en tout entre 15 à 20 minutes en intégrant le redémarrage, période pendant laquelle nous ne pouvions pas utiliser notre Mac ou notre téléphone. Juste pour que vous le sachiez !

Si vous n’êtes toujours pas convaincu de vous mettre dans la file d’attente pour ce patch  dès que possible, voici quelques statistiques provenant de l’avertissement de sécurité officiel Mac d’Apple :

65 réparations répertoriées.

127 vulnérabilités numérotées CVE listées.

23 corrections traitent de l'exécution de code arbitraire avec les privilèges du noyau.

42 composants système affectés, de AppleGraphicsPowerManagement à tiffutil.

Certaines des vulnérabilités peuvent être déclenchées en visionnant des fichiers piégés tels que des images, des polices de caractères et des fichiers iBooks, qui peuvent être intégrés ou liés à des pages web aux allures tout à fait innocentes.

Et si cela ne suffit pas, réfléchissez à ce qui suit.

Nous avons écrit sur les sondages de mémoires en lien avec Thunderbolt et le piratage de firmware auparavant. Cette fois, le bug pourrait théoriquement permettre à un cybercriminel avec accès physique à votre Mac de trouver votre mot de passe de déchiffrement de votre disque dur dans la mémoire :

Composant : EFI (MacOS Sierra 10.12.3)

Impact : un adaptateur Thunderbolt malveillant peut être capable de récupérer le mot de passe de chiffrement FileVault 2

Description : Il existe un problème dans la gestion de DMA. Ce problème a été traité en permettant à VT-d dans EFI.

CVE-2016-7585 : Ulf Frisk (@UlfFrisk)

L’une des façons d’atténuer les attaques par violation de la mémoire de votre Mac, ou de tout autre ordinateur, est d’arrêter votre ordinateur complètement au lieu de compter sur l’hibernation ou le mode veille. Lorsqu’il est éteint, le mot de passe de déchiffrement est perdu au niveau de la RAM, donc il n’y a rien à récupérer jusqu’à ce que vous ayez redémarré et que vous ayez tapé le mot de passe à nouveau. Si vous voyagez beaucoup, lorsque vous ne pouvez pas garantir que votre ordinateur soit toujours visible et sous votre propre contrôle à tout moment, prenez l’habitude de faire un arrêt complet au lieu de simplement fermer le couvercle. Cela nécessite un peu plus de discipline et prend plus de temps que de “mettre en veille” et de “réveiller” votre ordinateur, mais c’est une bonne chose à faire, et change de l’habitude plutôt risquée de laisser plein d’applications ouvertes avec potentiellement des documents intéressants accessibles.

Avant de partir …

Nous avons mentionné un patch de sécurité pour iWork en haut de l’article.

Le correctif iWork est petit et simple, mais il s’agit néanmoins d’un rappel sérieux sur la façon dont un historique oublié peut revenir pour créer de réels problèmes.

Selon Apple, la fonctionnalité de protection par mot de passe dans Exporter vers PDF … une option proposée au niveau des applications Numbers, Pages et Keynote peut parfois vous laisser avec un fichier chiffré RC4 de 40 bits, au lieu du chiffrement AES 128 bits que les PDF chiffrés actuels sont censés utiliser.

Nous pensons qu’il s’agit d’un vieux relent, datant de la période durant laquelle les États-Unis ont réglementé le chiffrement des versions destinées à l’export, comme s’il s’agissait de munitions, exigeant que les versions des logiciels américains pour l’export utilisent un chiffrement soigneusement affaiblies afin que les services de renseignement américain puissent craquer certains fichiers ciblés, tout en bloquant un adversaire voulant faire de même !

Bien sûr, les clés sur 40 bits qui pouvaient être “à peu près” forcées que par la NSA il y a 20 ans, sont susceptibles d’être craquées par n’importe quel équipement de nos jours…

… et étant donné que le gouvernement britannique a demandé cette semaine de réduire délibérément la puissance de chiffrement utilisée par les services tels que WhatsApp, nous nous permettons de rappeler que l’on ne peut pas renforcer la sécurité informatique en l’affaiblissant !

Follow @ SophosFrance //platform.twitter.com/widgets.js
Billet inspiré de Macs and iPhones patched – including 23 kernel-level holes, par Paul Ducklin, Sophos NakedSecurity.