Faut-il avoir peur de la faille SSL, également présente sous Mavericks ?

Vendredi soir, Apple publiait en urgence un correctif iOS comblant une faille SSL sur ses appareils mobiles.

Or d'après la société CrowdStrike, qui avait levé le lièvre en premier, OS X serait également touché par le problème, dans sa version 10.9 (Mavericks). De fait, la plupart des logiciels utilisant l'implémentation d'Apple seraient potentiellement concernés, de votre client mail préféré, en passant par Twitter et jusqu'au navigateur (Chrome serait épargné). OpenSSL ne serait, en revanche, pas concerné.

Durant toute la journée d'hier, la polémique a commencé à enfler, notamment du côté des spécialistes :

C'est aussi grave que vous pouvez l'imaginer, c'est tout ce que je peux dire, a déclaré Matthew Green, professeur de cryptographie à l'Université Johns Hopkins.

Adam Langley, spécialiste chez Google, a écrit sur ​​son blog personnel que la faille ne peut être détectée sans tests élaborés. Je crois que c'est juste une erreur et je me sens très mal pour celui qui l'a commise écrit-il.

Tout ce tapage a poussé Apple à promettre à Reuters un correctif, qui sera proposé au téléchargement côté Mac, et disponible très bientôt, confirme Cupertino.

Mais faut-il pour autant avoir peur pour sa propre sécurité ? Oui et non. Pour faire simple, la faille permet à quelqu'un de malintentionné de se faire passer pour Apple, Google ou toute autre entreprise qui a obtenu un certificat auprès d'une autorité officielle. En clair, elle pourrait facilement écouter et modifier les données échangées lors d'une session censée être sécurisée (et utilisant le protocole SSL). Mais il faut aussi relativiser le danger immédiat pour le commun des mortels : pour arriver à ses fins, le hacker doit se positionner entre vous et le service consulté. En clair, il ne peut s'agir que de votre fournisseur d'accès ou des différents opérateurs qui font transiter vos données. Il y a bien un risque de se faire alpaguer sur un réseau WiFi tiers (dans un café ou un hotel), mais avouez que la probabilité est assez infime, d'autant que la personne doit être sacrément aguerrie pour intercepter les trames et exploiter efficacement la faille à votre insu.

Certains évoquent déjà la possibilité que la NSA ait demandé à Apple d'intégrer cette porte dérobée, pour pouvoir écouter plus facilement les internautes. Cette hypothèse est assez peu probable, d'autant que la faille est apparue assez récemment, et qu'Apple s'est apparemment empressée de déployer un correctif une fois le bout de code identifié. En revanche, rien ne dit que l'agence américaine et certains milieux pirates ne s'en soient servi ces derniers mois...

Bref, la faille en elle-même est en effet assez grave, mais elle ne doit pas inquiéter outre mesure. Il y a aujourd'hui bien plus de risques à se faire intercepter ses mails en pop sans SSL sur un réseau WiFi ouvert que de se faire attaquer par la faille SSL vue plus haut. Ne parlons même pas de la plupart des services qui utilisent SSL pour l'authentification, mais qui font transiter toutes vos données en clair sur le reste de la session...

Pour ceux que ça intéresse, le code source de la faille en question est détaillé ici, avec toutes les explications connexes.