Apple a annoncé le vendredi 21 février au soir une faille de sécurité (nommée officiellement CVE-2014-1266 et officieusement « goto fail ») ▻http://support.apple.com/kb/HT6147
Cette faille est située dans une bibliothèque logicielle (un composant nommé « Secure Transport ») utilisée par de très nombreuses applications des systèmes Apple (les iPhone, iPad et Mac OS X sont donc vulnérables). Elle consiste en une absence de vérification de la signature de la machine avec laquelle on communique, lorsqu’on utilise le mécanisme de sécurité TLS (ex-SSL). La grande majorité des communications qu’on croit sécurisées (que ce soit le Web, avec « https », le courrier ou d’autres services) est donc vulnérable : un méchant peut se glisser entre la machine Apple et le vrai serveur, prétendre être le vrai serveur, et la machine Apple n’y verra que du feu.
Il est donc crucial de s’assurer que les mises à jour sont faites. Vous pouvez le vérifier en utilisant Safari (pas Firefox ou Chrome, qui utilisent une autre bibliothèque) pour aller visiter ▻https://gotofail.com
Des détails techniques pour informaticiens (avec examen du code source, d’où la faille tire son surnom) sont disponibles en ►https://www.imperialviolet.org/2014/02/22/applebug.html