Discussion :

[Stéphane le calme]

L’App Store livrée aux attaques depuis six mois,
Apple active le protocole HTTPS plusieurs mois après la découverte de la faille

L’App Store, la galerie d’applications d’Apple pour iOS, n’avait pas utilisé de cryptage SSL pendant une période d’au moins six mois, laissant ainsi la porte ouverte à des attaques.

Cette faille de l’App Store avait été découverte par les chercheurs Elie Bursztein de Google, Bernhard Brehm des laboratoires Recurity et Rahul Iyer de Bejoi LLC. La société les a remerciés sur le serveur Web de notifications d’Apple prévu pour la circonstance.

Les trois chercheurs ont expliqué que les informations envoyées vers et à partir du domaine de l’App Store n'étaient pas protégées par le protocole HTTPS, ce qui pouvait ouvrir la voie à quatre types d’attaques selon Bursztein.

La première a pour but de dérober le mot de passe de l’utilisateur. La technique employée serait d’intercepter la demande de mise à jour du Store à partir du serveur iTunes, puis lui injecter du code pour produire un pop-up demandant le mot de passe de l'utilisateur.

La seconde attaque tromperait l’utilisateur en lui faisant croire qu’il est en train de télécharger une application bien que ce ne soit pas le cas. Le pirate intercepte les détails présentés sur la page d’application en ne changeant que les détails envoyés aux serveurs d’Apple quand l’utilisateur clique sur l’icône acheter ou installer. Le pirate serait alors en mesure de rentabiliser cette attaque en rendant son application disponible sur la galerie et en forçant l'utilisateur à l'installer à la place de celle qu’il aurait souhaité obtenir (permutation d’applications).

Elle peut être combinée à la troisième attaque qui consiste à détourner les mises à jour véritables d’une application et en les faisant pointer vers une autre comme pour l’attaque de permutation d’applications.

Enfin, Bursztein souligne qu’un pirate peut également bloquer l’accès au store à un client. Il suffirait selon lui, d’utiliser l’attaque précédente en changeant l’application à télécharger par une application déjà présente sur l’appareil.

Suite à ces rapports, Apple s'est penché sur le sujet et a activé récemment le protocole HTTPS sur la quasi-totalité des transactions réalisées depuis la galerie d’applications pour iOS.

Source : Serveur Web de notifications d'Apple


Et vous ?

Que pensez-vous de cette initiative de Bursztein d’expliquer les manœuvres qu’auraient pu utiliser les pirates ?

[Samuel_]

Je pensais que la mauvaise qualité des développements (aspect sécurité) était quelque chose de commun de nos jours. Mais au point de toucher un "gros" du marché comme Apple ...

Comment un point aussi flagrant à pu être négligé dans la conception ?

Cela relance le débat sur le manque de sécurité dans les développements.

Ça me rappelle une citation : "Pourquoi y-a-t'il autant de hackers ? Parce qu'il y énormément de failles !"

[alex_vino]

Comment un point aussi flagrant à pu être négligé dans la conception ?

L'Erreur est humaine
J'assume aussi faire de grosses erreurs, je ne le nie pas, et je n'en veux pas aux autres de ne pas etre des machines, surtout s'ils travaillent dans les plus grandes entreprises et gros projets Informatique novateurs.

Le jour ou tu trouveras un systeme sécurisé a 100% tu me fera signe Meme le tout nouveau Store de Windows 8 a plein de failles, le jour ou il a été officialisé on pouvait tromper le systeme on modifiant tout simplement un fichier non crypté et ainsi débloquer toutes les fonctionnalités des applications payantes.
Cherche sur YouTube les vidéos des failles de chaqure OS mobile, tu verras que parfois en faisant un appel d'urgence on peux débloquer un smartphone, ce n'est pas plus compliqué que cela et pourtant cette faille toute bete existe.

Dans la vie de tous les jours le risque 0 n'existe jamais non plus.

[rt15]

J'imagine qu'on parle ici d'attaque "man in the middle"...

Alors parler de "App Store livrée aux attaques" c'est quand même vaguement exagérer. A ce tarif là, developpez.net est tout aussi exposé, quoique ce soit moins grave car il est moins utilisé pour récupérer des logiciels.

De même la plupart des sites de téléchargement de logiciel pour PC sont aussi "livrée aux attaques". Rien n'empêche un attaquant de se placer entre 01net.com et madame michu pour remplacer µtorrent.exe par un bon gros trojan des cavernes. De même un certain nombre de clients mails web permettent probablement à "tout le monde" de lire nos mails.

Mais ce type d'attaque est très difficile à mettre en place. Il y a eu quelques démo notamment lors d'usage de connexions wifi, ou en manipulant des serveurs dns, mais ça reste anecdotique et limité.

[Uther]

Désolé mais se prémunir contre les attaques "Man in the middle" est quand même la base de la sécurité attendue d'une application comme un AppStore.