Apple a quelque peu surpris son monde en sortant en début de semaine une nouvelle mise à jour de sécurité pour iOS. Dixit la firme de Cupertino, cette version corrige une faille de sécurité liée à la validation des certificats (lire : Une mise à jour 4.3.5 pour iOS).

Et si l'on en croit Sophos, cette vulnérabilité est relativement inquiétante. Elle traine dans Webkit depuis des années et permet à une personne malintentionnée de récupérer assez simplement des données sensibles. Pour cela, il suffit que la personne s'amuse à acheter un certificat valide. Grâce à cette faille, il est possible de créer une signature valide pour n'importe quel site et intercepter ainsi des données chiffrées très facilement lorsque vous accédez à votre compte PayPal par exemple.

Cette nouvelle faille illustre bien le comportement laxiste en matière de sécurité d'Apple. Dans sa note de mise à jour, elle précise bien que cette faille concerne toutes les moutures d'iOS à partir de la 3.0 et ce jusqu'à la 4.3.4. Ce qui signifie que les personnes ne pouvant installer la dernière version d'iOS, c'est le cas notamment des iPhone 3G, ne pourront pas obtenir un correctif permettant de résoudre cette faille.