Mise à jour 26 février 2014 : MacOS 10.9.2 est désormais disponible, qui corrige cette vulnérabilité. Et il est possible de tester si vous êtes vulnérables en vous rendant sur notre SSL Labs.

C’est un hasard du calendrier : il y a dix jours nous vous alertions sur le fait que les applications mobiles étaient potentiellement moins fiables qu’un navigateur traditionnel lors d’une connexion sécurisée par SSL car toutes ne valident pas correctement les certificats numériques.

Aujourd’hui Apple publie iOS 7.0.6 et 6.1.6 afin de remédier à une vulnérabilité aux effets similaires, bien que provenant d’une cause différente : le système d’exploitation mobile ne procédait pas aux vérifications nécessaires lors de l’établissement d’une connexion SSL. Cela permettait à un attaquant bien positionné de mener une attaque de type Man-in-the-Middle afin d’intercepter le trafic de manière transparente pour la victime.

Dans le détail, iOS ne tenait pas compte de la signature du serveur lors d’un échange de clés TLS (CVE-2014-1266). Un attaquant pouvait ainsi utiliser une clé de son choix, voire pas de clé du tout. Evidemment, la boulette est de taille…

Mais l’affaire ne se limite pas aux terminaux mobiles : Mac OS 10.9 est lui aussi vulnérable de la sorte, mais il n’est malheureusement pas encore corrigé. La rustine sera intégrée à la version 10.9.2, dont la sortie semble imminente.