Faille SSL d'OS X : une erreur grossière pour une théorie du complot

25 février 2014 à 13h59
0
« C'est l'une des failles de sécurité la plus importante provenant d'un éditeur majeur depuis un moment. » C'est ainsi qu'un chercheur en sécurité décrit une faille baptisée « goto fail » affectant OS X, qui est à l'origine d'une nouvelle théorie du complot.

00BE000006745982-photo-logo-os-x-mavericks.jpg

En la comblant sur iOS, Apple a révélé vendredi l'existence d'une grave faille permettant de passer outre la vérification d'une connexion SSL. Une vulnérabilité qui n'a pas été corrigée aussitôt sur OS X, alors qu'il est tout autant concerné.

Concrètement cette faille permet d'usurper un serveur sécurisé et donc d'intercepter des données chiffrées. Un tiers peut ainsi se faire passer pour l'entreprise ou pour la banque d'un utilisateur et récupérer des données confidentielles. OS X 10.9 et 10.9.1, donc plusieurs millions d'utilisateurs, sont affectés, et même si on ne peut intercepter que les données de cibles connectées au même réseau (attaque de l'homme du milieu ou man in the middle), ce qui en réduit l'ampleur (les risques sont très limités à domicile), la cause de la faille et la réaction d'Apple interrogent.

Une erreur grossière

La faille prend effectivement la forme de ce qui ressemble à une erreur bénigne : une simple répétition dans le code source (ouvert) de SecureTransport, l'implémentation maison du protocole SSL, sur laquelle reposent le navigateur Internet Safari mais aussi de nombreux autres services d'Apple.

Dans le code source résumé ci-dessous, le premier des deux « goto fail » est effectivement rattaché à la condition « if » précédente. Mais conformément au langage de programmation C, faute d'accolades et en dépit du retrait, le second « goto fail » ne dépend plus d'aucune condition et est systématiquement exécuté. Une répétition lourde de conséquences, puisque les connexions SSL sont ainsi validées que les certificats soient conformes ou non.

01E0000007193188-photo-extrait-du-fichier-sslkeyexchange-c-d-os-x-10-9-faille-goto-fail.jpg

Un laxisme intrigant

Ce qui est surprenant c'est que cette répétition soit apparue un beau jour sans aucune explication valable, du point de vue de multiples développeurs, alors que les failles de sécurité découlent généralement de modifications plus profondes. En d'autres termes, on aurait voulu ouvrir délibérément cette faille qu'on ne s'y serait pas pris autrement.

Le code source de SecureTransport est ouvert depuis OS X 10.8, mais personne n'a jamais repéré cet ajout. Ce constat à lui seul prouve la difficulté de gérer des millions de lignes de code émanant de centaines de développeurs. Il est donc difficile d'écarter totalement l'erreur humaine ou même technique.

Reste que l'absence de procédure permettant de repérer ce genre d'erreur grossière interroge, chez un éditeur d'une telle ampleur. Tout comme le fait qu'Apple ne soit pas plus pressé, qu'il ait prévu d'attendre la publication d'OS X 10.9.2, au lieu de proposer aussitôt un correctif comme l'ont d'ailleurs fait des développeurs indépendants. D'aucuns se demandent donc si Apple n'est pas délibérément laxiste, sous la pression d'une organisation gouvernementale comme la NSA, par exemple...
Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

La justice allemande demande à Tesla de mettre en pause la construction de sa Gigafactory
Une taxe sur chaque connexion aux réseaux sociaux, pour remplacer la redevance TV ?
L'éolien a, en 2019, fourni 15% de l'électricité consommée en Europe
La centrale nucléaire de Fessenheim va être arrêtée ce samedi en vue de son démantèlement
Airbus : les USA augmentent nettement les taxes douanières sur les avions européens
La France et l'Allemagne s'associent pour travailler sur le successeur du Rafale et de l'Eurofighter
Il y a maintenant 300 satellites Starlink au-dessus de nos têtes
Uber ferme son bureau de Los Angeles, écarte des dizaines de salariés et délocalise aux Philippines
L'Arctique révèle deux millions de points chauds de méthane, selon un rapport de la NASA

Notre charte communautaire

1. Participez aux discussions

Nous encourageons chacun à exprimer ses idées sur les sujets qui l'intéressent, et à faire profiter l'ensemble de la communauté de son expertise sur un sujet particulier.

2. Partagez vos connaissances

Que vous soyez expert ou amateur passionné, partagez vos connaissances aux autres membres de la communauté pour enrichir le niveau d'expertise des articles.

3. Échangez vos idées

Donnez votre opinion en étayant votre propos et soyez ouverts aux idées des autres membres de la communauté, même si elles sont radicalement différentes des vôtres.

4. Faites preuve de tolérance

Qu'il s'agisse de rédacteurs professionnels ou amateurs, de lecteurs experts ou passionnés, vous devez faire preuve de tolérance et vous placer dans une démarche d'entraide.

5. Restez courtois

Particulièrement lorsque vous exprimez votre désaccord, critiquez les idées, pas les personnes. Évitez à tout prix les insultes, les attaques et autres jugements sur la forme des messages.

6. Publiez des messages utiles

Chaque participation a vocation à enrichir la discussion, aussi les partages d'humeurs personnelles ne doivent pas venir gêner le fil des échanges.

7. Soignez votre écriture

Utilisez la ponctuation, prohibez le langage SMS et les majuscules, relisez-vous afin de corriger un peu les fautes de frappe et de français : trop de fautes n’engagent ni à lire le message, ni à répondre à une question.

8. Respectez le cadre légal

Ne publiez pas de contenus irrespectueux, racistes, homophobes, obscènes ou faisant l'apologie de courants radicaux, qu'ils soient politiques ou religieux. N'utilisez pas plusieurs comptes utilisateurs.

9. Ne faites pas de promotion

Ne profitez pas d'une discussion pour faire la publicité d'un produit, d'un service ou même de votre site web personnel.

10. Ne plagiez pas

Exprimez uniquement vos opinions ou partagez des idées en citant vos sources.

Discussions sur le même sujet

scroll top