Apple corrige à son tour Mac OS X pour les certificats DigiNotar
Et iOS ?
La semaine dernière, l’actualité de la sécurité a été marquée par de nombreuses informations sur le piratage de la société néerlandaise DigiNotar. En ligne de mire, le vol de centaines de certificats de sécurité qui remettaient en cause la base de la sécurité pour l’identification des sites web. Les éditeurs concernés par ces certificats ont publié des mises à jour pour adapter leurs produits et seul manquait réellement Apple. C’est désormais chose faite.
Le problème des certificats volés est que le pirate les ayant en sa possession peut techniquement créer des sites malveillants portant une identification authentique. Microsoft, Apple, Facebook, Yahoo sont autant de sociétés pour lesquels des certificats vérolés ont existé. D’où l’importance de leur révocation, c’est-à-dire leur annulation par les autorités de certification. En outre, les produits les utilisant, tels que les navigateurs, doivent pour certains être mis à jour, comme dans le cas de Firefox.
Des grands acteurs de la navigation, seul Apple n’avait pas bougé. La société a donc publié une mise à jour de sécurité pesant à peine moins de 200 Ko visant les versions encore supportées de Mac OS X, à savoir Snow Leopard et Lion, chacune avec ses derniers correctifs (respectivement 10.6.8 et 10.7.1).
Dans le descriptif de cette mise à jour 2011-005, Apple indique bien qu’il s’agit d’une solution pour les certificats piratés de DigiNotar. Il s’agit donc plutôt d’un script procédant à plusieurs opérations : retrait de DigiNotar en tant que source de confiance de certificats racines, de la liste des autorités Extended Validation et changement de la configuration pour que tous les certificats touchés soient en position « Ne pas faire confiance ».
La mise à jour peut être téléchargée directement via l’outil intégré de Mac OS X (menu Pomme, Mise à jour de logiciels).
Notez toutefois qu'un patch pour iOS est toujours attendu.
Le problème des certificats volés est que le pirate les ayant en sa possession peut techniquement créer des sites malveillants portant une identification authentique. Microsoft, Apple, Facebook, Yahoo sont autant de sociétés pour lesquels des certificats vérolés ont existé. D’où l’importance de leur révocation, c’est-à-dire leur annulation par les autorités de certification. En outre, les produits les utilisant, tels que les navigateurs, doivent pour certains être mis à jour, comme dans le cas de Firefox.
Des grands acteurs de la navigation, seul Apple n’avait pas bougé. La société a donc publié une mise à jour de sécurité pesant à peine moins de 200 Ko visant les versions encore supportées de Mac OS X, à savoir Snow Leopard et Lion, chacune avec ses derniers correctifs (respectivement 10.6.8 et 10.7.1).
Dans le descriptif de cette mise à jour 2011-005, Apple indique bien qu’il s’agit d’une solution pour les certificats piratés de DigiNotar. Il s’agit donc plutôt d’un script procédant à plusieurs opérations : retrait de DigiNotar en tant que source de confiance de certificats racines, de la liste des autorités Extended Validation et changement de la configuration pour que tous les certificats touchés soient en position « Ne pas faire confiance ».
La mise à jour peut être téléchargée directement via l’outil intégré de Mac OS X (menu Pomme, Mise à jour de logiciels).
Notez toutefois qu'un patch pour iOS est toujours attendu.
Source :
Apple
Vincent Hermann
le 12 septembre 2011 à 09:00
(6 302
lectures)
Actualités et brèves relatives
- 10 / 09 / 2011 : Certificats de sécurité : Mozilla affiche sa colère
- 06 / 09 / 2011 : DigiNotar et Comodo : deux attaques pour un seul pirate ?
- 05 / 09 / 2011 : DigiNotar : plus de 530 certificats auraient été générés
- 31 / 08 / 2011 : Opera rend son navigateur web compatible avec Lion
- 31 / 08 / 2011 : Firefox : mises à jour de sécurité et avenir sur tablette Android
- 30 / 08 / 2011 : Un faux certificat Google impliqué dans un espionnage en Iran
