Apple n’est pas totalement épargné par la faille Heartbleed.
La semaine passée, la célèbre firme high-tech assurait qu’aucune de ses solutions n’était touchée par cette vulnérabilité rendue publique le 7 avril dernier*. Elle vient finalement de publier une mise à jour pour ses bornes Wi-Fi de dernière génération, en l’occurrence les Airport Extreme et Time Capsule commercialisées à partir de juin 2013, avec connectivité 802.11ac.
Censé régler des problèmes liés à SSL/TLS, ce nouveau firmware (7.7.3) intègre en fait un correctif portant précisément sur Heartbleed. Apple l’a confirmé aux experts en sécurité qui s’interrogeaient sur la finalité d’un tel update. Seules sont concernées les Airport Extreme et Time sur lesquelles la fonctionnalité d’accès distant Back to my Mac est activée.
Il est recommandé d’appliquer le patch sans délai : quoique la brèche ne met pas en danger les identifiants Apple ID et les mots de passe, elle peut entraîner une attaque de type « man in the middle » par laquelle un tiers accède à l’interface d’administration d’un routeur ou d’un ordinateur pour éventuellement « écouter » le trafic.
Apple en profite pour corriger une autre faille importante concernant la technologie SSL. Ce bug, qui touche iOS 7.1 (et toutes les moutures antérieures) ainsi qu’OS X 10.8.5 « Mountain Lion » et 10.9.2 « Mavericks » peut occasionner un vol de données lors d’une connexion via le protocole dédié Secure Transport
Répertoriée CVE-2014-1295 dans la nomenclature des accidents de sécurité, cette faille a été nommée « Triple Handshake » (triple association) par les experts en sécurité. La raison ? Elle peut être exploitée pour créer deux connexions partageant les mêmes clés de chiffrement et associations. Il suffit alors aux pirates d’insérer des données corrompues et de faire une renégociation pour que les connexions interagissent.
Comme le note Silicon.fr, Apple a résolu le problème en modifiant Secure Transport de sorte que lors de la renégociation, les certificats serveurs présentés soient, par défaut, les mêmes que ceux émis lors de la connexion initiale.
* La faille Heartbleed est ainsi baptisée en référence à l’extension OpenSSL qu’elle affecte : Heartbeats.
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous l’histoire d’Apple ?
Crédit photo : Maksim Kabakou – Shutterstock.com
Deux offres de cybersécurité portées par ITrust et Docaposte intègrent des suites collaboratives. Présentation.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…
