L'App-Store Apple a été trop longtemps vulnérable

le 12/03/2013, par Jean Elyan avec IDG News Service, Sécurité, 761 mots

La firme de Cupertino a activé HTTPS par défaut pour l'App-Store depuis la fin janvier. Des chercheurs en sécurité avaient alerté Apple l'année dernière sur les risques de piratage.

L'App-Store Apple a été trop longtemps vulnérable

Selon un chercheur en sécurité de Google, jusqu'à fin janvier, date à laquelle Apple a activé le HTTPS par défaut, les serveurs de l'App Store ne chiffraient pas toutes les communications avec les clients iOS, exposant potentiellement les utilisateurs à des attaques. « L'application App Store d'Apple et d'autres apps natives associées, comme le Kiosque, sont livrées par défaut avec iOS pour accéder/acheter du contenu sur l'App Store d'Apple », a écrit vendredi dans un blog le chercheur de Google, Elie Bernstein. « Même si l'application App Store pour iOS est une app native, l'essentiel de son contenu actif, y compris les pages de l'application et la page de mise à jour, est traité dynamiquement à partir des données du serveur ».

« Des pirates auraient pu exploiter l'absence de cryptage HTTPS (une version sécurisée du HTTP) de certains éléments de communication entre les serveurs d'Apple et les clients iOS App Store pour injecter du contenu malveillant dans les pages d'applications consultées par les utilisateurs », a expliqué le chercheur. Certaines techniques adaptées, comme par exemple ajouter de fausses boîtes de dialogues dans l'application App Store, auraient pu permettre aux attaquants de voler les mots de passe utilisateurs, ou encore les forcer à acheter et installer des applications non vérifiées en modifiant les paramètres d'achat à la volée, les inciter à installer des applications malveillantes en les faisant passer pour des mises à jour d'applications déjà installées, les empêcher d'installer ou de mettre à jour des applications particulières, ou encore de voir les apps installées sur leurs terminaux.

Des risques connus

Ce type d'attaques était possible avant le 23 janvier, date à laquelle Apple a activé le HTTPS par défaut pour le contenu actif de l'App Store. Apple a fait état de ces changements dans un avis énumérant les sites web ayant bénéficié de différents correctifs. Le document crédite aussi Elie Bernstein et deux autres chercheurs pour avoir découvert la faille. Le chercheur en sécurité de Google prétend avoir signalé ces scénarios d'attaques à Apple au début du mois de juillet 2012. « Je suis vraiment heureux que le temps consacré à cette recherche a finalement amené Apple à activer le HTTPS, contribuant à protéger les utilisateurs », a-t-il déclaré. Comme la plupart des attaques exploitant l'absence de HTTPS pendant toute une session de navigation sur un site web, la faille mise en évidence par Elie Bernstein aurait pu facilement être mise à profit contre des utilisateurs sous iOS connectés à des hotspots Wifi publics comme ceux que l'on trouve dans les bibliothèques, les aéroports, les cafés ou d'autres lieux publics.

Dans l'article publié vendredi, le chercheur décrit chaque scénario d'attaque en détail et il a même ajouté des vidéos sur YouTube montrant ces attaques en action sur des appareils sous iOS. « J'ai décidé de rendre ces attaques publiques pour inciter plus de développeurs (ceux qui conçoivent des apps mobiles en particulier) à activer le HTTPS », a justifié le chercheur de Google. « Activer le HTTPS et garantir la validité des certificats sont les mesures à prendre les plus importantes pour sécuriser la communication de son application », a-t-il ajouté. Ces dernières années, des entreprises comme Google, Facebook et Twitter ont activé le HTTPS pour l'ensemble des sessions de navigation sur tous leurs services en ligne afin de protéger les utilisateurs. 

Une réponse tardive...

Une réponse tardive

« Apple, semble-t-il, ne s'est pas préoccupée d'activer le HTTPS partout, même pour son propre App Store, avant 2013 », a déclaré samedi dans un blog Paul Ducklin, CTO de la région Asie-Pacifique chez Sophos. « On aurait pu penser que la firme de Cupertino aurait placé la barre un peu plus haut, dans la mesure où l'App Store est le seul endroit où acheter et vendre des applications pour iOS et qu'Apple l'a voulu ainsi ».

« Même la possibilité de voir quelles applications un utilisateur iOS a installé sur son terminal, qui, selon Elie Bernstein est un des scénarios d'attaque le moins grave, a des implications importantes », a écrit Paul Ducklin. « En premier lieu, ces applications peuvent donner des indications sur votre mode de vie, très intéressantes pour un pirate, par exemple le nom de votre banque, les journaux que vous aimez, les jeux auxquels vous jouez, les services commerciaux que vous consultez, et plus encore », a-t-il ajouté. « D'autre part, la sélection d'applications présentes sur un terminal est probablement unique. Elle peut être associée à un profil particulier, et servir de sorte d'empreinte digitale potentiellement très utile pour un attaquant ».

Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...