« GoTo Fail » : un bug de sécurité majeur qui touche tous les appareils Apple

Utilisateurs iPad 2 iOS - Apple Store

« GoTo Fail » : la nouvelle est sortie il y a moins de 48 heures et elle fait des vagues dans le petit monde la sécurité informatique. Tous les appareils Apple sont affectés par ce problème puisqu’il touche le navigateur Safari mais également de nombreuses applications utilisation la même librairie.

Un problème qui touche Safari concernant la vérification d’authenticité d’un serveur

Je vais vous épargner le langage complexe et le jargon informatique pour vous décrire le problème. À cause d’une erreur dans le code à la base de Safari (autant sous iOS que Mac OS), la vérification de l’authenticité d’un serveur lors d’une connexion sécurisée SSL (le fameux petit cadenas lorsqu’on se connecte à notre site bancaire ou autre) ne se fait pas correctement.

Il est donc, en théorie, possible pour un hacker de se faire passer pour n’importe qui et Safari va croire que c’est une connexion tout de même légitime et vérifiée.

[ Mise à jour du 23 février 2014 : Comme l’indique Forbes notamment, d’autres applications pourraient être compromises. Ainsi Mail, Twitter, iMessage, Facetime et d’autres encore pourraient être victimes de GoTo Fail car elles partagent la même librairie sous iOS et OS X. Vivement les mises à jour! ]

Vérifier la vulnérabilité de son navigateur avec gotofail.com

Pour tester vos appareils Apple sous iOS ou Mac OS, rendez-vous sur gotofail.com à partir de votre navigateur Safari. Si vous voyez un message qui vous indique que votre navigateur est vulnérable, c’est que vous devez appliquer une rustine. Pour le moment, il semble que la dernière mise à jour de iOS (7.0.6) corrige ce problème, mais une solution pour Mac OS n’est pas encore disponible.

Les autres navigateurs sous iOS ou Mac OS non touchés par la vulnérabilité « GoTo Fail »

Entre-temps, les plus paranoïaques/prudents voudront tout simplement éviter de naviguer sur Internet avec des appareils vulnérables. Sinon, vous pouvez utiliser des navigateurs alternatifs tels que Google Chrome sous iOS, Firefox ou Chrome sous Mac OS. Ces navigateurs ne sont pas vulnérables à ce problème, leur routine de vérification des certificats SSL fonctionnant correctement.

Pour l’anecdote, il semble que le bug soit simplement dû à une erreur de copier-coller qu’aucune personne n’avait remarqué le problème chez Apple auparavant. Le bug se nomme « goto fail », car il fait référence aux lignes de codes en cause dans ce bug.

Les utilisateurs peuvent se compter chanceux que ce problème n’ait pas été exploité auparavant, ou bien si il l’a été, ce fut fait de façon assez obscure. Et comme d’habitude, les réseaux sociaux ont vite réagit et le mot-clic #gotofail est très tendance sur twitter.

Ce problème nous rappelle qu’aucune compagnie n’est infaillible et qu’il faut être prudent et surtout qu’on doit toujours appliquer les rustines de sécurité dès qu’elles sont disponibles.