Apple n’est pas totalement épargné par la faille Heartbleed.
La semaine passée, la célèbre firme high-tech assurait qu’aucune de ses solutions n’était touchée par cette vulnérabilité rendue publique le 7 avril dernier*. Elle vient finalement de publier une mise à jour pour ses bornes Wi-Fi de dernière génération, en l’occurrence les Airport Extreme et Time Capsule commercialisées à partir de juin 2013, avec connectivité 802.11ac.
Censé régler des problèmes liés à SSL/TLS, ce nouveau firmware (7.7.3) intègre en fait un correctif portant précisément sur Heartbleed. Apple l’a confirmé aux experts en sécurité qui s’interrogeaient sur la finalité d’un tel update. Seules sont concernées les Airport Extreme et Time sur lesquelles la fonctionnalité d’accès distant Back to my Mac est activée.
Il est recommandé d’appliquer le patch sans délai : quoique la brèche ne met pas en danger les identifiants Apple ID et les mots de passe, elle peut entraîner une attaque de type « man in the middle » par laquelle un tiers accède à l’interface d’administration d’un routeur ou d’un ordinateur pour éventuellement « écouter » le trafic.
Apple en profite pour corriger une autre faille importante concernant la technologie SSL. Ce bug, qui touche iOS 7.1 (et toutes les moutures antérieures) ainsi qu’OS X 10.8.5 « Mountain Lion » et 10.9.2 « Mavericks » peut occasionner un vol de données lors d’une connexion via le protocole dédié Secure Transport
Répertoriée CVE-2014-1295 dans la nomenclature des accidents de sécurité, cette faille a été nommée « Triple Handshake » (triple association) par les experts en sécurité. La raison ? Elle peut être exploitée pour créer deux connexions partageant les mêmes clés de chiffrement et associations. Il suffit alors aux pirates d’insérer des données corrompues et de faire une renégociation pour que les connexions interagissent.
Comme le note Silicon.fr, Apple a résolu le problème en modifiant Secure Transport de sorte que lors de la renégociation, les certificats serveurs présentés soient, par défaut, les mêmes que ceux émis lors de la connexion initiale.
* La faille Heartbleed est ainsi baptisée en référence à l’extension OpenSSL qu’elle affecte : Heartbeats.
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous l’histoire d’Apple ?
Crédit photo : Maksim Kabakou – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…