iOS 4.3.5 : une mise à jour à faire de toute urgence ?

Christophe Laporte |

Apple a quelque peu surpris son monde en sortant en début de semaine une nouvelle mise à jour de sécurité pour iOS. Dixit la firme de Cupertino, cette version corrige une faille de sécurité liée à la validation des certificats (lire : Une mise à jour 4.3.5 pour iOS).

Et si l'on en croit Sophos, cette vulnérabilité est relativement inquiétante. Elle traine dans Webkit depuis des années et permet à une personne malintentionnée de récupérer assez simplement des données sensibles. Pour cela, il suffit que la personne s'amuse à acheter un certificat valide. Grâce à cette faille, il est possible de créer une signature valide pour n'importe quel site et intercepter ainsi des données chiffrées très facilement lorsque vous accédez à votre compte PayPal par exemple.

Cette nouvelle faille illustre bien le comportement laxiste en matière de sécurité d'Apple. Dans sa note de mise à jour, elle précise bien que cette faille concerne toutes les moutures d'iOS à partir de la 3.0 et ce jusqu'à la 4.3.4. Ce qui signifie que les personnes ne pouvant installer la dernière version d'iOS, c'est le cas notamment des iPhone 3G, ne pourront pas obtenir un correctif permettant de résoudre cette faille.

Tags
#sécurité #iOS 4.3.5
avatar CHABI31 | 
Bande de c*****d!
avatar Kevelian | 
@poweGif , quel commentaire plein de bon sens, et instructif en ce qui te concerne
avatar Thymotep | 
Je pense que je survivrai à cette MAJ mais merci de l'info tout de même
avatar foudeapple | 
Encore une raison de passer au jailbreak pour avoir une mise a jour de sécurité sur les iPhone 3G!
avatar ZANTAR2054 | 
En quoi le fait de corriger une faille de sécurité sur les appareils non obsolètes constitue-t-il une preuve de laxisme?
avatar foudeapple | 
@edualc La réponse est dans ta question! Ou alors tu faisais une contre pétrie ? :)
avatar drkiriko | 
@ pwetpwet : Pense à mon Nokia 3310, jamais de maj et pourtant il avait plein de failles et de planages. Apple et d'autre ont permis les maj, très avantageuses si par exemple la fonction réveil est défectueuse. Depuis on s'attend à ce que chaque pb soit résolu par une maj, mais est-ce une obligation ?!?
avatar lgda | 
@ liocec : Disons qu'avec un iPhone les possibilités de piratage sont démultipliées par rapport à ton Nokia 3310, l'iPhone est un véritable petit ordinateur, ce que n'était pas ton 3310. Et quand bien même ce n'est pas parce que certain laisseraient des failles ouvertes qu'Apple doit aussi le faire. Sauf dans un monde où on aurait décidé de tout niveler par le bas.
avatar lgda | 
@ edualc : L'iPhone 3 n'est pas "obsolète", il n'est juste plus vendu par Apple mais beaucoup de gens l'utilisent encore. Dans l'absolu il n'est pas ancien et répond parfaitement au besoin de beaucoup. Dès lors pourquoi cesser de le maintenir niveau sécurité ? C'est la face sombre d'Apple, son gros talon d'Achille et la principale raison de méfiance du monde pro face à Apple : le non suivi dans le temps de ses solutions.
avatar lgda | 
@ Philactere : iPhone 3G et non pas 3 qui plus est.
avatar Guillaumeg33 | 
Je vais encore me faire peur ! - Très bon scénario sécuritaire. C'est sans doute très utile comme démarche pour Apple de faire une tel annonce, mais en quoi ça a un quelconque intérêt ? Il y a “forcément” d'autres failles qui sont “volontairement” laissées pour avoir une porte de service toujours active. On ce sent bien mieux maintenant, non ? Après, la plus adéquate des protections nécessite déjà une participation active à la surveillance de l'activité du réseau. Ce ne peut au pire, qu'être un passe temps sur un iPhone jaillbreaké avec un firewall mais en aucun cas une mise à jour prompte à résoudre tous les maux.
avatar dent134 | 
Elle traine depuis iOS 3 !! Ah ben BRAVO !!
avatar crifan | 
ios ressemble a un gruyere en ce moment. il pleut des Maj toutes les semaines. ils devraient revoir leur politique de communication je pense. ca fait pas serieux
avatar zugarmania | 
Si seulement c'était du Gruyère http://fr.wikipedia.org/wiki/Gruy%C3%A8re_suisse Tu ne penses pas à l'Emmental? http://fr.wikipedia.org/wiki/Emmental Le Gruyère n'a pas de trou, n'en a jamais eu et n'en aura jamais!
avatar lgda | 
@ alushta : Toutafé
avatar FrancoisR | 
@ alushta : Tu m'as bien fais rire.
avatar xno | 
@ expertpack : "il pleut des maj toutes les semaines" Hein ? N'importe quoi... Le fait que ce ne soit pas dispo pour le 3G, je trouve ça pas très correct effectivement.
avatar Oh la belle Pomme | 
le mac ne peut pas être touché ? je demande parce que j'ai un problème niveau certificat pour mon mail.
avatar Surcouf X.1 | 
Je ne comprend pas qu'il ne continue pas a fournir les mises a jours au moins de sécurité pour les appareils anciens ... Sa le déçoit un petit peu...
avatar Batoo82 | 
Enfin une mise à jour avec juste les correctifs de sécurité pour les vieux modèles devraient pas prendre 6 mois à faire. Personnellement je ne peux même plus jailbreaker avec mon bouton du lockscreen qui ne marche plus. Phrase d'accro mais vivement le prochain iPhone!
avatar imkl | 
@blakken: Justement jusque là totalité des problèmes de sécurité ne touchaient que les iPhones jailbreaké...
avatar ATLANTA125 | 
@Adrien13 Euh... Non. Tout le monde a toujours été concerné par les failles de sécurité.
avatar Apical-informatique | 
C'est vrai que suivre les produits "obsolètes" n'est pas obligatoire mais: - iOS étant relativement homogène - La faille étant clairement identifiée et le patch ayant ete code et distribue Je trouve que ca mange pas de pain de faire un correctif pour tout le monde En plus d'un pt de vue marketing ca aurait ete bon pour Apple Dommage donc
avatar boytez | 
Le correctif sera probablement dispo sur Cydia pour le 3G. Comme souvent d ailleurs. Des fois la correction est meme dispo avant celle d'Apple. @Adrien13 : tu dis des betises ;)
avatar boccob | 
Pour info, cette faille n'est pas SI exploitable que cela. Elle permet à un site de se faire passer pour un autre (fishing) uniquement pour la version iOS de webkit. Il faut donc pour l'exploiter qu'une personne face une copie de paypal (par exemple), vous envoie un mail avec un lien qui ressemble à paypal (par exemple). Que vous cliquiez dessus, et que vous vous authentifiez avec. Notez également qu'ensuite pour exploiter les logins/mdp qu'on vous a volé, ca sera impossible (ou presque) sur les site comme paypal (justement) mais aussi les site de banque, google, etc ... Car une vérification est faites par rapport la la session précédente et avec l'IP source (histoire que si vous vous connectez toujours depuis la france, et qu'ensuite vous vous connectez depuis le nepal, ça demande une vérification). Donc bon, faille ok, mais faut relativiser le "danger" quand meme ....
avatar chmgd | 
De fait, ne confondons-nous pas risque potentiel et réel? Comme si on devait automatiquement tomber dans tous les pièges potentiels?
avatar AppleFlo | 
Passe a la 4.3.5 en raison de soucis depuis un jailbreak... Mywi hélas ... A la trappe

CONNEXION UTILISATEUR