‘Ne surfez temporairement pas avec votre iPhone ou iPad sur un réseau wifi public’

© Reuters

Si vous utilisez un iPhone ou un iPad, mieux vaut ne pas surfer pour le moment sur un réseau wifi public. Du moins pas avant d’avoir contrôlé si vous n’y avez pas par hasard installé l’une des 1.500 applis caractérisées par une faille dangereuse.

Peut-être faites-vous partie de ceux/celles qui peuvent difficilement réprimer un bâillement en découvrant la énième annonce d’une faille/fuite, mais sachez cependant que si vous surfez souvent sur des réseaux wifi publics, nous vous conseillons de prendre le présent avertissement au sérieux.

Il y a en effet 1.500 applis pour iPhone et iPad qui contiennent une faille, par laquelle quelqu’un n’ayant peut-être pas des intentions louables et se trouvant sur ce même réseau wifi public, peut s’interposer entre votre appareil et internet.

Faux certificat SSL

En fait, le problème ne se manifeste que dans un seul programme: AFNetwork. Ce logiciel open source est utilisé par de très nombreux programmes pour permettre à leur appli de ‘fonctionner en réseau’.

En raison d’un bug dans la version 2.5.1 de ce programme, il n’y a aucun contrôle de l’authenticité du certificat SSL. Lorsque l’occasion se présente, un pirate qui surveille le trafic de sa victime, peut ainsi proposer un faux certificat SSL.

Il en résulte que l’iPhone ou l’iPad de la victime considère la connexion avec l’appareil du pirate comme une liaison fiable. Dans un tel cas, la voie est ouverte pour le pirate vers des informations sensibles à ne pas partager avec quelqu’un de mal intentionné.

Bug corrigé, mais nombre d’applis non encore actualisées

Le bug dans AFNetwork a été corrigé il y a trois semaines, mais de nombreux producteurs n’ont pas encore actualisé leur appli vers la version 2.5.2.

Selon SourceDNA, qui a publié un inventaire, il est encore et toujours question de 1.500 applis. SourceDNA a mis à disposition un outil vous permettant de contrôler pour chaque fournisseur s’il a livré des applis vulnérables vis-à-vis de ce bug.

Source: Automatiseringgids

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire