La faille de sécurité sur l’App Store enfin corrigée par Apple

Écrit par Dr True. Posté dans Actualités, iPad, iPhone, Mac App Store

La réactivité n’est probablement pas le point fort d’Apple, et l’actualité le confirme. En effet, en juillet 2012, Elie Bursztein avait décelé un grosse vulnérabilité sur l’App Store : certaines zones de la boutique n’étaient pas protégées par une connexion sécurisée. Ce chercheur en sécurité de Google avait immédiatement averti Apple. Mais il aura fallu attendre pas moins de 6 mois pour que la firme à la pomme réagisse enfin, et se décide à sécuriser la totalité de son App Store, le 23 février dernier.

Une faille de sécurité sur l'App Store enfin corrigée

Apple avait négligé la sécurisation des connexions par l’HTTPS

Plus concrêtement, le problème rapporté par le chercheur de Google est lié au fait que certaines pages de l’App Store n’étaient pas sécurisées par une connexion de type HTTPS, et fonctionnaient donc sous protocole basique HTTP. Pour rappel, le HTTPS, comme son nom l’indique, est une URL comme le HTTP, mais avec en plus un S pour Sécurisé : l’identité du site visité est vérifiée via un certificat d’authentification ; et surtout toutes les informations envoyées (login, mot de passe, champs de formulaires, etc…) sont cryptées, garantissant théoriquement la confidentialité de toutes les données saisies.

Des informations confidentielles mal protégées

Après cette mise au point, on comprend aisément la source du problème. Vu que certains services de l’App Store n’étaient pas sécurisés, par conséquence les données personnelles saisies par un usager sur ces pages pouvaient très facilement être récupérées par n’importe quel hacker, à partir du moment où il était connecté au même réseau Wifi que sa victime. C’est ce qu’Elie Bursztein montre dans cette vidéo, où il récupère avec une facilité déconcertante le mot de passe qui vient d’être saisi sur un second appareil :

L’achat d’applications également impacté par cette faille

Mais le vol de mot de passe n’est pas le seul risque qui découlait de cette faille de sécurité sur l’App Store. En effet, un hacker pouvait tout à fait intervenir au moment où on achète une application, en changeant l’application choisie. Ainsi on croit acheter une appli AAAA, mais en réalité le hacker vous a fait acheter une toute autre appli de son choix, et souvent bien plus chère. Et tout ceci de manière parfaitement invisible, et donc totalement  à l’insu du client. Là encore, le spécialiste en sécurité de Google montre la manipulation mettant en évidence cette faille :

Et les risques encourus par les usagers navigant dans les pages non sécurisées de l’App Store ne se limitaient pas à la substitution de mot de passe ou l’achat à son insu d’applications. Citons également le risque de télécharger des mises à jour qui finalement s’avèrent bidons, ou tout simplement l’impossibilité de mettre à jour des applications…

Une réaction bien lente en comparaison des milliards de dollars rapportés par l’App Store

Bref, il s’agissait là d’un gouffre de sécurité ; et il était grand temps qu’Apple réagisse et colmate tout ça. Mais quand on sait que l’App Store rapporte plus de 4 milliards $ par an à la firme Apple, on peut clairement être surpris que plus de 6 mois aient été nécessaires pour sécuriser la célèbre boutique en ligne. Désormais donc, plus de stress : l’intégralité de la plate-forme est sécurisée, et ce depuis le 23 février 2013… Il était temps !

Faute d’être réactif, Apple a tout de même su faire preuve de bonne foi, en n’omettant pas de remercier le travail d’Elie Bursztein qui les a informé de cette grosse faille sur l’App Store.

Source : The Verge

Mots-clefs : ,

Rétrolien depuis votre site.

A propos de l'auteur : Dr True

...

Laisser un commentaire