Sécurité informatique : Apple fait chou blanc à corriger la faille

Le temps où Apple pouvait garantir l’infaillibilité de ses ordinateurs Mac aux virus est désormais révolu. En effet, cela fait deux semaines qu’une mise à jour nommée 10.10.3 a été effectuée par la firme américaine pour le système d’exploitation OS X Yosemite. Cette action s’était opérée dans le but de réparer une faille de sécurité majeure baptisée Rootpipe, détectée en octobre 2014 par un chercheur de la société Truesec. Cette vulnérabilité permettrait aux hackers de prendre le contrôle d’un terminal Mac en accès root sans mot de passe. Mais d’après Patrick Wardle, chercheur en sécurité informatique, la faille pouvait encore être exploitée par des agents malveillants même après la mise à jour.

Sécurité informatique: Rootpipe récidive !

Selon le créateur d’ObjectiveSee, un site mettant en avant des outils de sécurité pour OS X, la correction amenée par Apple s’avère « raisonnable ». En fait, Patrick Wardle explique que le géant américain s’est efforcé de colmater l’erreur dans OS X 10.10.3, en ajoutant des contrôles d’accès par le biais d’un nouveau privilège privé : com.apple.private.admin.writeconfig. Mais il s’est aperçu que des personnes mal intentionnées pourraient encore tirer profit de la faille et compromettre ainsi la sécurité informatique des millions d’utilisateurs de Mac. Il estime être tombé sur une nouvelle et innommable façon de ré-exploiter cette vulnérabilité même sur un système intégralement patché, c’est-à-dire infiltrer de manière très simple un ordinateur. Toutefois, il a préféré ne pas rendre public les détails par souci de responsabilité, a-t-il annoncé.

Notons que ce n’est pas la première fois que la marque à la pomme est confrontée à un problème de sécurité : « Freak » le moi dernier, « go to fail » l’année dernière et « le cheval de Troie flashback » de 2012 ayant infecté plus de 600.000 Mac.

D’autres failles détectées sur iPhone et iPad

Des failles pourraient également ébrécher la sécurité informatique des autres produits Apple. Effectivement, selon l’analyste SourceDNA, environ deux millions d’appareils pourraient être touchés par une vulnérabilité présente dans 1.500 applications pour iPhone et iPad. Elle implique le protocole HTTPS, un signe permettant d’authentifier la sécurité sur Internet. Les pirates pourront intercepter des mots de passe ou autres informations personnelles d’un utilisateur telles que des données bancaires.

Mais à l’inverse de la faille repérée sur les Mac, celle des iPhone et iPad est assignable aux développeurs d’application qui adoptent une version désuète d’un code informatique public manié pour la création des applications.