Selon un chercheur en sécurité de Google, jusqu'à fin janvier, date à laquelle Apple a activé le HTTPS par défaut, les serveurs de l'App Store ne chiffraient pas toutes les communications avec les clients iOS, exposant potentiellement les utilisateurs à des attaques. « L'application App Store d'Apple et d'autres apps natives associées, comme le Kiosque, sont livrées par défaut avec iOS pour accéder/acheter du contenu sur l'App Store d'Apple », a écrit vendredi dans un blog le chercheur de Google, Elie Bernstein. « Même si l'application App Store pour iOS est une app native, l'essentiel de son contenu actif, y compris les pages de l'application et la page de mise à jour, est traité dynamiquement à partir des données du serveur ».

« Des pirates auraient pu exploiter l'absence de cryptage HTTPS (une version sécurisée du HTTP) de certains éléments de communication entre les serveurs d'Apple et les clients iOS App Store pour injecter du contenu malveillant dans les pages d'applications consultées par les utilisateurs », a expliqué le chercheur. Certaines techniques adaptées, comme par exemple ajouter de fausses boîtes de dialogues dans l'application App Store, auraient pu permettre aux attaquants de voler les mots de passe utilisateurs, ou encore les forcer à acheter et installer des applications non vérifiées en modifiant les paramètres d'achat à la volée, les inciter à installer des applications malveillantes en les faisant passer pour des mises à jour d'applications déjà installées, les empêcher d'installer ou de mettre à jour des applications particulières, ou encore de voir les apps installées sur leurs terminaux.

Des risques connus

Ce type d'attaques était possible avant le 23 janvier, date à laquelle Apple a activé le HTTPS par défaut pour le contenu actif de l'App Store. Apple a fait état de ces changements dans un avis énumérant les sites web ayant bénéficié de différents correctifs. Le document crédite aussi Elie Bernstein et deux autres chercheurs pour avoir découvert la faille. Le chercheur en sécurité de Google prétend avoir signalé ces scénarios d'attaques à Apple au début du mois de juillet 2012. « Je suis vraiment heureux que le temps consacré à cette recherche a finalement amené Apple à activer le HTTPS, contribuant à protéger les utilisateurs », a-t-il déclaré. Comme la plupart des attaques exploitant l'absence de HTTPS pendant toute une session de navigation sur un site web, la faille mise en évidence par Elie Bernstein aurait pu facilement être mise à profit contre des utilisateurs sous iOS connectés à des hotspots Wifi publics comme ceux que l'on trouve dans les bibliothèques, les aéroports, les cafés ou d'autres lieux publics.

Dans l'article publié vendredi, le chercheur décrit chaque scénario d'attaque en détail et il a même ajouté des vidéos sur YouTube montrant ces attaques en action sur des appareils sous iOS. « J'ai décidé de rendre ces attaques publiques pour inciter plus de développeurs (ceux qui conçoivent des apps mobiles en particulier) à activer le HTTPS », a justifié le chercheur de Google. « Activer le HTTPS et garantir la validité des certificats sont les mesures à prendre les plus importantes pour sécuriser la communication de son application », a-t-il ajouté. Ces dernières années, des entreprises comme Google, Facebook et Twitter ont activé le HTTPS pour l'ensemble des sessions de navigation sur tous leurs services en ligne afin de protéger les utilisateurs.

Une réponse tardive

« Apple, semble-t-il, ne s'est pas préoccupée d'activer le HTTPS partout, même pour son propre App Store, avant 2013 », a déclaré samedi dans un blog Paul Ducklin, CTO de la région Asie-Pacifique chez Sophos. « On aurait pu penser que la firme de Cupertino aurait placé la barre un peu plus haut, dans la mesure où l'App Store est le seul endroit où acheter et vendre des applications pour iOS et qu'Apple l'a voulu ainsi ».

« Même la possibilité de voir quelles applications un utilisateur iOS a installé sur son terminal, qui, selon Elie Bernstein est un des scénarios d'attaque le moins grave, a des implications importantes », a écrit Paul Ducklin. « En premier lieu, ces applications peuvent donner des indications sur votre mode de vie, très intéressantes pour un pirate, par exemple le nom de votre banque, les journaux que vous aimez, les jeux auxquels vous jouez, les services commerciaux que vous consultez, et plus encore », a-t-il ajouté. « D'autre part, la sélection d'applications présentes sur un terminal est probablement unique. Elle peut être associée à un profil particulier, et servir de sorte d'empreinte digitale potentiellement très utile pour un attaquant ».