Apple sécurise (enfin) les connexions à l'App Store

Anthony Nelzin-Santos |

Apple a mis plus de six mois pour résoudre les problèmes de sécurité de l’App Store soulevés par Elie Burstzein. Chercheur en sécurité chez Google, Burstzein a remarqué que la connexion entre un appareil iOS et certaines parties de l’App Store n’était pas sécurisée par défaut : il a donc pu se mettre au milieu et la détourner.

En étant simplement sur le même réseau Wi-Fi public que la victime, l’attaquant peut intercepter ses requêtes vers l’App Store et les autres boutiques d’Apple et lui présenter de fausses pages. Il peut alors :

  • faire croire que certaines apps ont été mises à jour alors qu’elles ne l’ont pas été pour pousser la victime à entrer son mot de passe ;
  • récupérer ce mot de passe en lui présentant le même dialogue que celui utilisé par Apple ;
  • installer une autre app que celle demandée par la victime ;
  • empêcher l’installation d’apps ;
  • récupérer la liste des apps installées sur l’appareil.

Le plus grave est sans doute la récupération du mot de passe, qui donne accès au compte iTunes de la victime et donc indirectement à ses moyens de paiement.

Le problème a été réglé le 23 janvier par Apple : tous les contenus actifs d’itunes.apple.com transitent désormais en HTTPS. Ce protocole n’est pas infaillible — aucun ne l’est —, mais il rend presque impossible ce genre d’attaques.

[Via Cnet]

Tags
#sécurité
avatar abohbot | 
Ben bravo Apple quel professionnalisme! Plutôt que de ne regarder que sa valeur boursière, Tim Cook ferait mieux de s'intéresser au manque de rigueur des ingénieurs! Il serait bien vu de séparer de certains éléments à Cupertino.
avatar concoillote | 
@RobRiv : Je pense que demenla971 a dit "quel professionnalisme" au second degré ;) Il aurait pu dire "ah ben bravo Apple, c'est du beau !"...
avatar farfff | 
il faut arreter d'etre parano..... meme avec ce genre de failles, tres peu de personnes peuvent etre frappés par cette faille. allez donc dans le monde tout joli et tout vert d'android et là, vous verrez la taille des failles.
avatar ElGringo13 | 
Sinon le chercheur en sécurité de Google ferait mieux de s'occuper de chrome et android non? C est une faille ou il fait être sur le même réseau que la victime ce qui réduit déjà la dangerosité. Non?
avatar Alkolic | 
Ça aurait dû être fait dès le début, certes. Mais arrêtons avec ces remarques du style "Apple n'est plus ce qu'elle était", "Tim Cook ferait mieux de..." ou "Si Steve Jobs était là..."! L'App Store existe depuis longtemps, et si ce n'est corrigé *que* maintenant, ça signifie justement que ce sont les personnes actuelles qui ont traité ce problème.
avatar niscaro | 
Arrêtez d imaginer et de râler. Combien se sont fait pirater??? Et n échafaudez plus des plans tordus la faille est bouchée.
avatar Alezirox | 
c'est hallucinant de ne proposer le https que maintenant ... hallucinant.
avatar GSTOOL | 
Pfff... et les gars, si vous pensez que c'est trop risqué, personne ne vous oblige. Et tant que j'y suis, arrêtez aussi d'utiliser votre carte bleue, parce que c'est 1000x moins sécurisé: numéro facile à générer, 10.000 combinaisons de codes seulement, achat possible en ayant vu la carte 2 secondes...
avatar Dewy | 
Une bonne distrib Backtrack, un endroit fréquenté et hop ! C'est dans la boite

CONNEXION UTILISATEUR