Plus de sécurité pour la connexion à l’App Store d’Apple
Au moins six mois après avoir été alerté d’une faille possible dans la façon dont les utilisateurs se connectent à son App Store, Apple a ajouté un cryptage pour les connexions des utilisateurs, afin de combler les failles de sécurité.
Un chercheur en sécurité de Google, Elie Bursztein a déclaré sur son blog qu’il avait alerté Apple de la possibilité d’une attaque en juillet dernier, via la faille affectant les utilisateurs lorsqu’ils se connectent à l’App Store. La vulnérabilité dont souligne Bursztein a été rendue possible par l’utilisation d’Apple d’un protocole HTTP non crypté au lieu de l’HTTPS pour certaines parties de la communication avec l’App Store.
Bursztein a fait remarquer que, en théorie, un hacker malveillant pourrait exploiter l’utilisation de l’HTTP pour voler les mots de passe, forcer les utilisateurs à installer une application spécifique au lieu de celle qu’ils cherchaient, inciter les utilisateurs à télécharger des fausses mises à jour d’applications, d’empêcher l’installation d’applications , ou de parcourir les applications sur le périphérique de l’utilisateur.
Bursztein a publié un certain nombre de vidéos détaillant la manière dont les attaques pourraient fonctionner, ainsi que des informations techniques supplémentaires sur la méthodologie d’attaque.
Dans les notifications de mise à jour publiées le 23 février, Apple a abordé la question. Le contenu actif est maintenant en HTTPS par défaut. Apple a donc reconnu la problématique que Bursztein a remonté, ainsi que Bernhard Brehm des laboratoires Recurity et Rahul Iyer de Bejoi LLC.
Dans le passé, l’App Store a été régulièrement la cible d’attaques. En 2010, Apple a renforcé la sécurité de son App Store suite à des fraudes sur les comptes de certains utilisateurs qui ont vu leurs comptes débiteurs de plusieurs centaines de dollars.
En avril 2012, Apple a de nouveau mis à jour ses protocoles de sécurité, en ajoutant une mesure obligeant les utilisateurs à remplir des questions de sécurité associées à leurs comptes. Dans le cas où un utilisateur ouvre une session à partir d’un nouvel appareil, iTunes et l’App Store demandent à l’utilisateur de répondre à ces questions afin de vérifier son identité.
Quelques vidéos montrant des attaques sur l’App Store.