Apple comble une faille de sécurité 3 semaines après Microsoft
Le 15 mars dernier, Comodo, l'un des organismes émettant les certificats SSL permettant de sécuriser les transactions sur internet, détectait une intrusion sur le compte d'un de ses clients. Son auteur réussit à se faire accorder 9 certificats pour des noms de domaine majeurs : google.com, login.yahoo.com, login.live.com, etc. Avec ces certificats, le pirate aurait pu monter de faux sites visuellement identiques aux originaux et s'authentifiant comme eux et ainsi récupérer les identifiants de nombre d'utilisateurs.
Comodo a réagi rapidement en révoquant ces certificats SSL et a contacté les éditeurs de navigateurs et de systèmes d'exploitation pour qu'eux aussi mettent ces certificats frauduleux sur liste noire. Microsoft, Google, Mozilla l'avaient déjà tous fait lorsque nous publiions notre actualité du 26 mars. Apple, de son côté, vient tout juste de boucher cette faille de sécurité via une mise à jour de sécurité pour Mac OS 10.5 et 10.6 (et iOS 4.3.2) publiée hier soir. Heureusement pour les Mac users, Comodo surveille l'utilisation de ces certificats révoqués.
- Zalman : un VF3000F pour les GTX 570 et 580
- Cartes graphiques : le retour du Jedi
- La PSP2 montre-t-elle ses possibilités ?
- Un supercalculateur Bull pour le nucléaire japonais
- Internet à 30 Mbit/s pour tous en 2020
- GPU des Ivy Bridge : 3 écrans, HDMI 1.4, 16 shaders
- TDJ : Corsair DDR3 Vengeance, NOFEN Set A40
- Le grand comparatif des navigateurs
- Un curseur pour les handicapés
- Une GTX 590 à l’eau chez Point of View
- Google : revenus et bénéfices en hausse
- Windows Phone : Adreno 205 et gyroscope
- Un boîtier pour les guerriers chez Aerocool
- L'AdS : La seule cartouche Super NES de Star Fox 2
- TDJ : CM Storm Enforcer, Lian-Li PC-C50
- Des MacBook Air plus rapides que d'autres
- Les nouvelles Windows 8 du week-end
- Test femtocell : améliorer sa réception cellulaire
iFail !
Titre trollesque
![[:maitre capello]](http://img.infos-du-net.com/forum/images/perso/maitre capello.gif)
"Apple comble une faille de sécurité 3 semaines après les autres"
3 semaines pour enlever un certificat d'une liste verte. Apple reste conforme à ses habitudes dès qu'on parle de sécurité informatique : "on verra plus tard quand on aura le temps".
Matthieu Lamelot > Elle est ou la faille? Il ne s'agit pas d'une faille mais de la possible utilisation d'un certificat volé. C'est comme dire qu'il y a une faille dans la gestion des cartes bancaire par ce que quelqu'un à pu utiliser une carte volé sur internet.
Ça reste une faille dans le jargon
Maintenant c'est pas des certificats "volés", mais "contrefaits", ça fait une grosse différence. Et c'est à un tel niveau que la faille est juste... terrible. Le genre de truc imparable quoi.
Cela peut être dangereux pour les débutants en informatique, qui peuvent imprudemment cliquer des liens reçus dans des faux mails faisant croire qu'il y a un problème avec leurs comptes gmail yahoo msn live etc.
Pas beaucoup plus dangereux que le phishing classique, la seule différence c'est que ça permet de faire du phishing sécurisé (ie: https). Je ne pense pas que les gens qui se font avoir par ce genre de trucs soient très sensibles au https/http ou au petit cadena...
on savais apple agir dans le sens de la sécurité avec un certain temps de retards, cela se confirme ici, même s'il faut l'avouer, ils ont été plutôt rapide sur ce coup ... par rapport à d'habitude
Ça reste une faille dans le jargon
Maintenant c'est pas des certificats "volés", mais "contrefaits", ça fait une grosse différence. Et c'est à un tel niveau que la faille est juste... terrible. Le genre de truc imparable quoi.
C'est marrant, mais il me semble qu'on parlait du vol de certificat permettant d'en faire d'autre et donc de l'utilisation, possible, des certificats volés même si cette utilisation se borne à la fabrication d'autres certificats.
C'est pas le vol d'un certificat, mais le vol d'un compte, ce qui a permis de créer plusieurs certificats dont les noms correspondent à ceux d'autres sites.
Ca permet du coup de créer des sites bidons authentifiés comme étant les vrais, du phishing de luxe quoi. En fait, ça permettrait carrément, en s'attaquant à une personne en particulier, d'intercepter toutes ses communications chiffrées avec un vrai site, donc de l'espionnage sans être du phishing pour autant.
Bref, ça peut être super problématique. Toute la sécurité sur internet tient sur des certificats, si les certificats sont cassés, plus rien n'est fiable, et ça casse tout internet.
Cela peut être dangereux pour les débutants en informatique, qui peuvent imprudemment cliquer des liens reçus dans des faux mails faisant croire qu'il y a un problème avec leurs comptes gmail yahoo msn live etc.
Pas exactement. Avoir des certificats pour tel et tel site permet une attaque man-in-the-middle dans lequel l'attaquant intercepte les communications et se fait passer pour le site sécurisé original, e.g. https://microsoft.com.
Sans avoir de certificats valides (c'est à dire signés par une autorité de certification reconnue par le navigateur ou l'OS), une attaque man-in-the-middle est uniquement possible avec du HTTP classique. C'est pour ça qu'on dit aux gens de vérifier que le petit cadenas est présent et que l'URL est correcte : du HTTPS vers la bonne adresse est absolument sûr, tant que l'infrastructure à clef publiques (PKI) n'est pas compromise.
D'ailleurs, ce problème d'autorité de certification compromise n'est pas une surprise. C'est un cas de figure qui a été envisagé dans les normes, et un système existe pour parer à ce genre de soucis : les listes de révocation (gérées par le protocole OCSP). En gros, quand un ordi se connecte au net, il commence par aller vérifier une liste de certificats déclarés "invalides" pour une raison ou pour une autre, et les traite comme tel (...plus ou moins).
Ici, les principaux éditeurs ont pu simplement mettre à jour leur liste de révocation, et on en parle plus.
Le problème, c'est que chez Apple, OCSP n'est pas activé par défaut. Du coup ils ont été obligés de retirer l'autorité de certification incriminée directement dans le produit (au niveau de l'OS/Safari) via une mise à jour de sécurité.