Michal Zdanský Il est presque alarmant de constater combien de temps Apple a laissé ses utilisateurs, en particulier tous ceux qui utilisent l'App Store, exposés au danger potentiel des communications non cryptées entre l'App Store et les serveurs de l'entreprise. Ce n'est que maintenant qu'Apple a commencé à utiliser HTTPS, une technologie qui crypte le flux de données entre l'appareil et l'App Store.
Le chercheur de Google, Elie Bursztein, a signalé le problème vendredi. blogu. Déjà en juillet de l'année dernière, il avait découvert pendant son temps libre plusieurs vulnérabilités dans la sécurité d'Apple et les avait signalées à l'entreprise. HTTPS est une norme de sécurité utilisée depuis des années et qui permet une communication cryptée entre un utilisateur final et un serveur Web. Cela empêche généralement un pirate informatique d'intercepter les communications entre deux points finaux et d'extraire des données sensibles, telles que des mots de passe ou des numéros de carte de crédit. En même temps, il vérifie si l’utilisateur final ne communique pas avec le faux serveur. Le standard de sécurité Web est appliqué depuis un certain temps par, par exemple, Google, Facebook ou Twitter.
Selon le blog de Bursztein, une partie de l'App Store était déjà sécurisée via HTTPS, mais d'autres parties n'étaient pas cryptées. Il a démontré les possibilités d'attaque dans plusieurs vidéos sur YouTube, où, par exemple, un attaquant peut inciter les utilisateurs disposant d'une page usurpée dans l'App Store à installer de fausses mises à jour ou à saisir un mot de passe via une fenêtre d'invite frauduleuse. Pour un attaquant, il suffit de partager une connexion Wi-Fi sur un réseau non protégé avec sa cible à un instant donné.
En activant HTTPS, Apple a résolu de nombreuses failles de sécurité, mais cette étape a pris beaucoup de temps. Et même là, il est loin de gagner. Selon la sécurité de l'entreprise Qualys elle a encore des failles dans la sécurité d'Apple via HTTPS et l'a qualifiée d'insuffisante. Cependant, les vulnérabilités ne sont pas facilement détectables par les attaquants potentiels, les utilisateurs n'ont donc pas à trop s'inquiéter.
Comme c'est gentil. Maintenant, ils pouvaient enfin atteindre le ralentisseur. C'est incroyablement lent depuis plusieurs mois maintenant.