En juillet dernier, un des chercheurs en sécurité de Google, Elie Bursztein, prévenait Apple d’une faille de sécurité dans l’AppStore. Certains services de la boutique en ligne utilisaient le protocole HTTP non sécurisé, alors qu’il aurait été de bon ton de la part de Cupertino d’employer l’HTTPS. Cette vulnérabilité pouvait potentiellement servir à des hackers pour subtiliser des mots de passe, forcer les utilisateurs à installer une application spécifique plutôt que celles qu’ils souhaitaient (notamment les plus onéreuses), ou encore à télécharger des mises à jour bidon – il pouvait même être possible d’empêcher l’installation de logiciels. Bref, il fallait qu’Apple sécurise un peu mieux son affaire, ce que la société a fait… le 23 février. Soit plus de six mois après avoir été prévenu par Bursztein ! Ce dernier n’a pas chômé en livrant quelques vidéos démonstratives de la faille (cf la vidéo)
Les transactions sur l’AppStore sont désormais entièrement sécurisées via HTTPS par défaut. Apple n’a pas manqué de souligner le travail du chercheur lors de la communication sur le correctif apporté le 23 février.
Apple bouche une faille vieille de six mois dans l’App Store
9 mars 2013 à 01:18
En juillet dernier, un des chercheurs en sécurité de Google, Elie Bursztein, prévenait Apple d’une faille de sécurité dans l’AppStore. Certains services de la boutique en ligne utilisaient le protocole HTTP non sécurisé, alors qu’il aurait été de bon ton de la part de Cupertino d’employer l’HTTPS. Cette vulnérabilité pouvait potentiellement servir à des hackers pour subtiliser des mots de passe, forcer les utilisateurs à installer une application spécifique plutôt que celles qu’ils souhaitaient (notamment les plus onéreuses), ou encore à télécharger des mises à jour bidon – il pouvait même être possible d’empêcher l’installation de logiciels. Bref, il fallait qu’Apple sécurise un peu mieux son affaire, ce que la société a fait… le 23 février. Soit plus de six mois après avoir été prévenu par Bursztein ! Ce dernier n’a pas chômé en livrant quelques vidéos démonstratives de la faille (cf la vidéo)
Les transactions sur l’AppStore sont désormais entièrement sécurisées via HTTPS par défaut. Apple n’a pas manqué de souligner le travail du chercheur lors de la communication sur le correctif apporté le 23 février.
Merci à MacPlus pour l’info !