Le blog de Genma
Vous êtes ici : Accueil » Veille Technologique » Ce que nous apprend la faille d’Apple

Ce que nous apprend la faille d’Apple

D 25 février 2014     H 10:02     A Genma     C 1 messages   Logo Tipee

TAGS : Https

Petit billet écrit rapidement et donc forcément perfectible ;-)

Goto Fail

Nombreux sont les articles ayant parler de la fameuse faille d’Apple et ce qu’il faut comprendre c’est que cette faille permet à un attaquant de réaliser un Man-In-The-Middle sans que le client ne s’en apercoive. Pour comprendre la faille, je vous conseille de lire :
 Le blog de Quack1
 Et surtout la publication de Stephane Bortzmeyer sur SeenThis
Pour en savoir plus sur l’attaque de l’homme du milieu.

Vulgarisons

Comme tout ça reste très "technique", voici une petite explication pour vulgariser.

Quand on se connecte de façon sécurisé au site de sa banque par exemple, on prend soin (normalement) de bien avoir le "cadenas" dans la barre d’adresse (connexion en httpS). Ce cadenas indique que le mot de passe sera chiffré/protégé et que personne à part le site de la banque ne peut le voir. Là, on voit le cadenas. Mais quand on se connecte à sa banque, il peut très bien y avoir un PC d’un pirate qui se connecte et se positionne entre notre machine et le site de la banque. Le PC du pirate sert d’intermédiaire. Le cadenas apparait, on pense qu’on se connecte de façon sécurisé, et en fait, le PC du pirate voit toutes les informations, il voit le mot de passe... Et après il peut en faire ce qu’il veut.

C’est valable pour le cadenas dans le navigateur, mais aussi si on regarde ses mails via un client comme "Mail" (l’Outlook de chez Apple). Là aussi le mot de passe peut être vu par le pirate.

Ce que l’on peut en apprendre

Ce n’est pas parce qu’on est une société qui vaut et qui a des milliards de dollars que l’on fait du super code. Et surtout qu’on corrige une faille de façon rapide...

Quand on se connecte à un WIFI public dans lequel on ne doit pas avoir confiance, on doit utilise des moyens de connexions pour se protéger : un VPN ou TOR. Et utiliser une connexion en HTTPS aux sites que l’on consulte.

Un complément de solution est d’installer une extension comme Certificate Patrol qui avertit si le certificat SSL que l’on connaissait précédemment est différent celui que l’on va utiliser pour la connexion courante.

Et surtout on utilise du logiciel libre. Oui ce n’est pas exempt de faille, mais on peut avoir un peu plus confiance dans un code ouvert que dans un code fermé. Oui il peut y avoir des failles, mais au moins le code est accessible, quelqu’un peut voir les failles et les corriger.

Ma critique du monde Apple - en utilisant la fameuse analogie de la voiture

Utiliser Apple, ce serait comme conduire une superbe voiture sans permis, au super design, qui roule toute seule. Et quand il considère que le modèle est obsolète - parce que l’on a fait plus de 10.000km, - et ne fournisse plus de mises à jour, il faut acheter un nouveau modèle... alors que l’ancien pourrait encore marcher. Mais verrouiller au possible, on ne peut rien faire. Ce que je reproche une fois de plus à Apple, c’est qu’à trop vouloir simplifie la vie des gens, l’utilisateur de base ne veut pas apprendre. Or la sécurité de base, ça s’apprend. On apprend le code de la route pour utiliser une voiture et on n’en est pas mécano pour autant. On n’a pas être mécano, mais il ne faut pas conduire sans permis et sans notion de code de la route.

Dans le cas de la faille de sécurité, c’est un peut comme si les freins de la voiture ont lâchés, et qu’on ne ne peux pas faire réparer. Il faut attendre qu’Apple répare. Et en attendant, on roule avec une voiture sans frein.

1 Messages

  • Et sinon au lieu de partir sur ses grands chevaux au sujet de l’open source qui serait relu face au propriétaire, ce serait bien de savoir de quoi on parle. Il s’agit d’une bibliothèque open source développée par Apple en fait. Donc tout le paragraphe sur le code propriétaire est complètement HS.

    Pour ce qui est des utilisateurs, c’est pareil quelque soit la licence du système, peu d’utilisateurs savent repérer cette faille et tout le monde est contraints à attendre la mise à jour d’Apple, Microsoft ou des empacteurs de sa distribution. Donc pareil pour la suite ça n’est pas pertinent dans ce cas.

    Que le libre soit mieux que le propriétaire c’est un fait, mais il faut savoir pourquoi et ne pas tomber dans de l’argumentation toute faite et non-pertinente au risque de ne plus être crédible.

    Tu peut retouver la lib ici :
    http://opensource.apple.com/source/Security/Security-55471/