Apple a livré une mise à jour pour iOS en fin de semaine dernière pour corriger une erreur dans une fonctionnalité de chiffrement. Mais le problème affecte aussi les applications desktop qui s'appuient sur Secure Transport, la bibliothèque incriminée. Et dans cet environnement, il n'a pas encore été corrigé, pointe dans un tweet Ashkan Soltani, chercheur en sécurité indépendant. De nombreuses autres applications sont concernées comme Mail, FaceTime, Calendar, Keynote, le navigateur Safari, iBooks et Software Update. Des logiciels développés par d'autres éditeurs sont également touchés, comme l'application desktop de Twitter et peut-être aussi, suivant les configurations, des connexions VPN.

Secure Transport assure la mise en place de connexions chiffrées pour de nombreuses applications. On la trouve à partir des versions 6 d'iOS et 10.9 d'OS X. La plupart des sites web qui gèrent des données personnelles sensibles utilisent SSL (Secure Sockets Layer) ou TLS (Transport Layer Security) qui établissent des connexions chiffrées entre un serveur et l'ordinateur de l'utilisateur. Si un attaquant intercepte les données, celles-ci sont illisibles.  Or, l'erreur d'Apple dans Secure Transport permet de conduire une attaque de type « man-in-the-middle » et de fournir de fausses données qui le font apparaître l'attaquant comme un authentique service web dont le chiffrement a été vérifié. Cela permet d'intercepter le trafic chiffré entre l'utilisateur et le serveur de destination, explique dans un billet Alex Radocea, ingénieur CrowdStrike, une société de sécurité informatique qui a analysé le correctif d'Apple pour iOS.

La faille est enfouie dans une ligne de code, souligne de son côté Adam Langley, un ingénieur de Google, écrivant sur son blog personnel. « Ce genre de bug subtil est un cauchemar », note-t-il. Jusqu'à ce qu'Apple le corrige, toutes les données transmises par les applications affectées sont exposées. Cela dit, le danger est atténué du fait que l'attaquant doit se trouver sur le même réseau que sa victime. Les développeurs indépendants doivent modifier leur code pour utiliser d'autres bibliothèques SSL/TLS, telles qu'OpenSSL. Apple devrait toutefois remédier rapidement au problème.