Pourquoi la faille "goto fail" des OS d'Apple est très grave

Panique après la découverte, dans iOS et Mac OS, d'une vulnérabilité très critique. Zoom sur une minuscule ligne de code qui rend les communications chiffrées... facilement déchiffrables.

Ce n'est pas une petite faille, et après les révélations concernant les écoutes de la NSA, elle n'arrive pas vraiment au bon moment pour Apple. En gros, cette nouvelle vulnérabilité affectant les produits phare d'Apple permet à un attaquant d'écouter assez facilement, en clair, une communication censée être chiffrée via le fameux protocole SSL ou TLS (celui qui ajoute le "s" à https).

Comme les experts l'ont expliqué,  cette faille résulte "seulement" d'une petite ligne de code, qui tient en deux mots. Un "goto fail" qui semble avoir été répété par inadvertance (du moins on l'espère), et dont l'itération n'est hélas pas conditionnelle (pas précédé du "if" comme le révèlent les lignes de code officielles).

Une "coquille" très malvenue, puisqu'elle intervient au mauvais moment. Elle empêche les applications de vérifier correctement l'identité (plus précisément la signature) lors du crucial échange des clés qui permettent de chiffrer les messages. Un attaquant peut donc se faire passer pour n'importe qui, Google.com par exemple, comme l'explique un professeur spécialisé. Un pirate qui aurait la possibilité de surveiller la connexion entre un utilisateur et un serveur peut exploiter cette faille pour déchiffrer complètement le trafic en présentant une app avec une fausse clé, comme le résume le spécialiste Dan Goodin chez ArsTechnica.

Apple a déjà commencé à corriger cette vulnérabilité en mettant à jour iOS, mais la faille reste béante pour les Mac OS X. Le client de messagerie par défaut, Mail, mais aussi le navigateur par défaut d'Apple, Safari, sont donc toujours troués, mais Apple travaille sur un patch.

Et aussi :

Serveurs / Faille