Qu'est-ce qu'Apple irait faire dans cette galère ? Décryptage
Après six mois d'utilisation, le bilan concernant Siri est très mitigé !
Que faire lorsqu'on porte une robe de soirée sans poches pour ne pas devoir garder son iPhone à la main ? Comment porter une tenue d'été seyante sans risquer de perdre son iPhone ou d'avoir les poches surchargées ? Voilà la réponse : le holster façon FBI ! Gardez votre iPhone sur vous sans encombrer vos poches. 19,99 $ chez ThinkGeek.
Apple a quelque peu surpris son monde en sortant en début de semaine une nouvelle mise à jour de sécurité pour iOS. Dixit la firme de Cupertino, cette version corrige une faille de sécurité liée à la validation des certificats (lire : Une mise à jour 4.3.5 pour iOS).
Et si l'on en croit Sophos, cette vulnérabilité est relativement inquiétante. Elle traine dans Webkit depuis des années et permet à une personne malintentionnée de récupérer assez simplement des données sensibles. Pour cela, il suffit que la personne s'amuse à acheter un certificat valide. Grâce à cette faille, il est possible de créer une signature valide pour n'importe quel site et intercepter ainsi des données chiffrées très facilement lorsque vous accédez à votre compte PayPal par exemple.
Cette nouvelle faille illustre bien le comportement laxiste en matière de sécurité d'Apple. Dans sa note de mise à jour, elle précise bien que cette faille concerne toutes les moutures d'iOS à partir de la 3.0 et ce jusqu'à la 4.3.4. Ce qui signifie que les personnes ne pouvant installer la dernière version d'iOS, c'est le cas notamment des iPhone 3G, ne pourront pas obtenir un correctif permettant de résoudre cette faille.
Vous devez être connecté pour réagir.
Si ce n'est pas le cas, inscrivez-vous.
Vos réactions
Bande de c*****d!
@poweGif , quel commentaire plein de bon sens, et instructif en ce qui te concerne
Je pense que je survivrai à cette MAJ mais merci de l'info tout de même
Encore une raison de passer au jailbreak pour avoir une mise a jour de sécurité sur les iPhone 3G!
En quoi le fait de corriger une faille de sécurité sur les appareils non obsolètes constitue-t-il une preuve de laxisme?
@edualc
La réponse est dans ta question! Ou alors tu faisais une contre pétrie ?
:)
Le fait que la faille "traine dans Webkit depuis des années" (je cite l'article) ?
Le fait que l'iPhone 3G par exemple, encore vendu par Apple il y a 13 mois et toujours au catalogue de certains opérateurs, ne verra jamais de correctif ?
@ pwetpwet :
Pense à mon Nokia 3310, jamais de maj et pourtant il avait plein de failles et de planages.
Apple et d'autre ont permis les maj, très avantageuses si par exemple la fonction réveil est défectueuse. Depuis on s'attend à ce que chaque pb soit résolu par une maj, mais est-ce une obligation ?!?
@ liocec :
Disons qu'avec un iPhone les possibilités de piratage sont démultipliées par rapport à ton Nokia 3310, l'iPhone est un véritable petit ordinateur, ce que n'était pas ton 3310.
Et quand bien même ce n'est pas parce que certain laisseraient des failles ouvertes qu'Apple doit aussi le faire. Sauf dans un monde où on aurait décidé de tout niveler par le bas.
@ edualc :
L'iPhone 3 n'est pas "obsolète", il n'est juste plus vendu par Apple mais beaucoup de gens l'utilisent encore. Dans l'absolu il n'est pas ancien et répond parfaitement au besoin de beaucoup. Dès lors pourquoi cesser de le maintenir niveau sécurité ? C'est la face sombre d'Apple, son gros talon d'Achille et la principale raison de méfiance du monde pro face à Apple : le non suivi dans le temps de ses solutions.
@ Philactere :
iPhone 3G et non pas 3 qui plus est.
Je vais encore me faire peur !
- Très bon scénario sécuritaire.
C'est sans doute très utile comme démarche pour Apple de faire une tel annonce, mais en quoi ça a un quelconque intérêt ?
Il y a “forcément” d'autres failles qui sont “volontairement” laissées pour avoir une porte de service toujours active.
On ce sent bien mieux maintenant, non ?
Après, la plus adéquate des protections nécessite déjà une participation active à la surveillance de l'activité du réseau. Ce ne peut au pire, qu'être un passe temps sur un iPhone jaillbreaké avec un firewall mais en aucun cas une mise à jour prompte à résoudre tous les maux.
Elle traine depuis iOS 3 !! Ah ben BRAVO !!
ios ressemble a un gruyere en ce moment. il pleut des Maj toutes les semaines.
ils devraient revoir leur politique de communication je pense. ca fait pas serieux
Si seulement c'était du Gruyère
http://fr.wikipedia.org/wiki/Gruy%C3%A8re_suisse
Tu ne penses pas à l'Emmental?
http://fr.wikipedia.org/wiki/Emmental
Le Gruyère n'a pas de trou, n'en a jamais eu et n'en aura jamais!
@ alushta :
Toutafé
@ alushta :
Tu m'as bien fais rire.
@ expertpack :
"il pleut des maj toutes les semaines"
Hein ? N'importe quoi...
Le fait que ce ne soit pas dispo pour le 3G, je trouve ça pas très correct effectivement.
le mac ne peut pas être touché ?
je demande parce que j'ai un problème niveau certificat pour mon mail.
Je ne comprend pas qu'il ne continue pas a fournir les mises a jours au moins de sécurité pour les appareils anciens ... Sa le déçoit un petit peu...
Enfin une mise à jour avec juste les correctifs de sécurité pour les vieux modèles devraient pas prendre 6 mois à faire. Personnellement je ne peux même plus jailbreaker avec mon bouton du lockscreen qui ne marche plus. Phrase d'accro mais vivement le prochain iPhone!
@blakken:
Justement jusque là totalité des problèmes de sécurité ne touchaient que les iPhones jailbreaké...
@Adrien13
Euh... Non. Tout le monde a toujours été concerné par les failles de sécurité.
C'est vrai que suivre les produits "obsolètes" n'est pas obligatoire mais:
- iOS étant relativement homogène
- La faille étant clairement identifiée et le patch ayant ete code et distribue
Je trouve que ca mange pas de pain de faire un correctif pour tout le monde
En plus d'un pt de vue marketing ca aurait ete bon pour Apple
Dommage donc
Le correctif sera probablement dispo sur Cydia pour le 3G. Comme souvent d ailleurs. Des fois la correction est meme dispo avant celle d'Apple.
@Adrien13 : tu dis des betises ;)
Pour info, cette faille n'est pas SI exploitable que cela.
Elle permet à un site de se faire passer pour un autre (fishing) uniquement pour la version iOS de webkit.
Il faut donc pour l'exploiter qu'une personne face une copie de paypal (par exemple), vous envoie un mail avec un lien qui ressemble à paypal (par exemple).
Que vous cliquiez dessus, et que vous vous authentifiez avec.
Notez également qu'ensuite pour exploiter les logins/mdp qu'on vous a volé, ca sera impossible (ou presque) sur les site comme paypal (justement) mais aussi les site de banque, google, etc ... Car une vérification est faites par rapport la la session précédente et avec l'IP source (histoire que si vous vous connectez toujours depuis la france, et qu'ensuite vous vous connectez depuis le nepal, ça demande une vérification).
Donc bon, faille ok, mais faut relativiser le "danger" quand meme ....
De fait, ne confondons-nous pas risque potentiel et réel? Comme si on devait automatiquement tomber dans tous les pièges potentiels?
Passe a la 4.3.5 en raison de soucis depuis un jailbreak... Mywi hélas ... A la trappe