Linux vulnérable au bug de certificat d’Apple

Tard un vendredi après-midi au milieu du mois de février, Apple a discrètement publié la correction d’un bug dans un certificat de validation critique au sein d’iOS qui offrait aux

Tard un vendredi après-midi au milieu du mois de février, Apple a discrètement publié la correction d’un bug dans un certificat de validation critique au sein d’iOS qui offrait aux pirates la possibilité d’espionner des communications supposées être sécurisées.

Bien que le bug était très critique et que la correction annoncée à la dernière minute soit passée plutôt inaperçue, ce comportement n’a rien de surprenant venant d’Apple. Le géant de l’informatique basé à Cupertino en Californie est célèbre pour travailler en secret.

Néanmoins, la correction a suscité bien plus d’intérêt le jour suivant quand il est apparu que le bug n’affectait pas seulement iOS, le système d’exploitation mobile d’Apple, mais aussi son traditionnel système d’exploitation OSX. Les choses se sont aggravées la semaine dernière quand il a été découvert qu’un bug similaire affectait GnuTLS, un logiciel gratuit à source ouverte utilisé pour réaliser le chiffrement dans plusieurs distributions Linux et autres plateformes.

Alors que de plus en plus de personnes se sont intéressées à ces bugs, de plus en plus d’entités et de chercheurs ont publié des suggestions de subterfuge. Bruce Schneier, l’un des meilleurs experts au monde en chiffrement et sécurité a décrit la vulnérabilité comme ceci :

« La faille est subtile et difficile à détecter en scannant le code. Il est facile d’imaginer comment elle aurait pu se produire par erreur. Mais il aurait été aussi très facile pour quelqu’un d’ajouter la vulnérabilité.

A-t-elle été créée exprès ? Je n’en ai aucune idée. Mais si je voulais faire quelque chose comme cela exprès, je le ferai exactement de cette manière. »

La faille a-t-elle été créée exprès ? Je n’en ai aucune idée. Mais si je voulais faire quelque chose comme cela exprès, je le ferai exactement de cette manière.

D’autres chercheurs ont été plus directes en lançant que les erreurs de code à l’origine du bug d’Apple (également connu sous le nom de « goto fail ») seraient presque impossibles à commettre et très difficiles à ne pas remarquer lors de la révision du code. Bien évidemment, étant donné le climat actuel et l’utilité de la vulnérabilité « goto fail », nombreux sont ceux qui ont avancé que les bugs d’Apple et de GnuTLS étaient d’une grande valeur pour n’importe quel individu dans l’industrie de l’espionnage.

Bien que fortuits et similaires de par leurs effets, les bugs fonctionnent de manières très différentes. Un autre expert en chiffrement, Matthew Green de la Johns Hopkins University a examiné le bug de GnuTLS et pense qu’il s’agit d’une simple (et bête) erreur.

Si l’on met les complots criminels de côté, cette erreur de validation de chiffrement dans GnuTLS signifie que tous les ordinateurs Red Hat ainsi que les produits de serveur et les installations Debian et Ubuntu (Linux) contiennent un bug qui pourrait être exploité afin de surveiller les communications qui ont lieu sur ces machines. Ce bug impacte les systèmes affectés dans leur totalité. Vos sessions de navigation Internet sécurisées (indiquées par « HTTPS ») ne seraient pas les seuls affectées : vos applications, vos téléchargements et toutes vos communications soit disant chiffrées qui utilisent GnuTLS le seraient également.

Vos sessions de navigation Internet sécurisées (indiquées par « HTTPS ») ne seraient pas les seuls affectées : vos applications, vos téléchargements et toutes vos communications soit disant chiffrées qui utilisent GnuTLS le seraient également.

Pour être clair, un pirate aurait besoin de se trouver sur un réseau local avec sa cible dans le but d’exploiter ces bugs. Néanmoins, sous des circonstances appropriées, les bugs pourraient permettre à un pirate de réaliser une attaque de l’homme du milieu, où la victime croit qu’elle communique avec un fournisseur de service en ligne fiable mais qu’elle est en fait en train d’envoyer des paquets de données à un pirate. Ces bugs sont une bonne manière de voler des identifiants de compte et de surveiller des communications sur des réseaux locaux.

« C’est une très mauvaise nouvelle » explique Kenneth White, un expert en sécurité et scientifique au Social & Scientific Systems en Caroline du nord. « Un pirate peut facilement forcer n’importe quel domaine et peut le faire paraitre légitime aux yeux des utilisateurs. Ce qui lui permettrait non seulement d’intercepter les canaux sensibles mais aussi potentiellement de subvertir le processus de signature des paquets fiables. »

En d’autres termes, il est possible d’imiter les informations de fiabilité d’un certificat qui permet à l’utilisateur de savoir qui a développé le logiciel ou l’application qu’il est sur le point de télécharger.

Si vous utilisez un ordinateur Linux, vous êtes alors probablement vulnérable. Nous vous recommandons d’installer immédiatement la mise à jour la plus récente de votre distribution Linux. Si vous n’utilisez pas l’un des nombreux systèmes d’exploitation Linux disponibles, cela ne signifie pas nécessairement que vous êtes à l’abri. GnuTLS est un logiciel à source ouverte très utilisé qui fonctionne sur un nombre inconnu de systèmes. Comme toujours, la moral de l’histoire ici est que vous devez installer les patchs dès qu’ils sont disponibles et fréquemment.

Conseils