Clicky

iOS 9.2.1 : Apple vient de corriger une faille signalée en 2013

Apple a récemment déployé une nouvelle version de sa plateforme mobile. iOS 9.2.1 est disponible depuis quelques heures maintenant mais il n’apporte aucune nouveauté notable. Non, et c’est assez logique car cette mouture corrige en réalité 13 failles de sécurité critiques. Amusant, mais ce n’est pas fini car on trouve dans le lot une faille signalée à la firme en… 2013.

Et non, ce n’est pas une plaisanterie ni même une erreur de ma part. La firme de Cupertino vient effectivement de corriger une faille datant de plus de deux ans. OKLM, comme disent les jeunes.

iOS 9.2.1

iOS 9.2.1 corrige pas moins de 13 failles différentes, il vaudra mieux l’installer dès que possible.

Qu’est ce que ça veut dire ? Tout simplement que si vous avez un iPhone, un iPod Touch ou même un iPad à la maison, alors il sera sans doute préférable de ne pas trop attendre avant de le mettre à jour.

iOS 9.2.1 corrige 13 failles de sécurité

Surtout que ces failles ne sont pas anodines, loin de là. Preuve en est, dans le lot, on compte pas moins de six failles dans Webkit autorisant une exécution de code arbitraire à distance.

Grâce à elles, il était ainsi possible d’infecter un appareil de la marque en s’appuyant sur une simple page web.

Pas terrible, et ce n’est pas fini car cinq autres failles permettaient à une application locale malveillante de récupérer les privilèges administrateurs sur le terminal. La douzième faille concernait aussi Webkit et elle pouvait générer cette fois une fuite au niveau des données de navigation de Safari.

Mais c’est la dernière faille qui a le plus fait parler d’elle et c’est assez logique car elle a été détectée pour la première fois par la société Skycure en 2013.

Apple a donc eu besoin de deux ans pour lui apporter un correctif.

Deux ans pour trouver un correctif

Le pire reste à venir car cette fameuse faille était loin d’être inoffensive. En réalité, elle résidait dans la manière dont la plateforme gère le stockage des cookies et des portails captifs.

Si ce terme n’évoque rien en vous, alors sachez qu’il fait en réalité allusion à des pages de connexion spécifiques permettant à un utilisateur de s’identifier pour accéder à certains services.

Ils sont très répandus dans les aéroports mais également dans les hôtels.

iOS a une manière assez particulière de gérer ces fameux portails puisqu’ils passent tous par une vue Safari utilisable par des applications tierces. Le problème, c’est que les données associées n’étaient pas chiffrées et il suffisait ainsi de mettre au point un faux portail captif pour récupérer toutes ces informations.

Pas terrible, mais ce n’est pas fini car il était aussi possible d’utiliser cette faille pour maintenir la connexion au faux service et pour prendre ainsi la main sur le cache.

Bref, le moment est sans doute bien choisi pour installer ce fameux patch parce que ce serait quand même dommage de vous retrouver avec un terminal vérolé.

Mots-clés appleiossécurité

Share this post

Frédéric Pereira

Floodeur compulsif, est très actif sur Twitter ou encore sur Facebook. Sachez en outre que la Fredzone a une page sur Google+.