Apple #gotofail : Explications simples et détaillées de la faille (FR et EN)

 

Stephane Bortzmeyer a publié sur SeenThis un post dans lequel il présente de façon simple la faille « Goto Fail » qui a été découverte sur les systèmes d'exploitation Apple en fin de semaine dernière, et référencée dans la CVE-2014-1266

Pour les anglophones, un très bon article (un peu plus technique) est disponible ici.

En gros, techiquement, ce qu'il se passe c'est que lors de l'établissement d'une connexion TLS, le serveur échange dans un Diffie-Hellman une clé de session qui permettra de chiffrer les connexions. Cette clé est signée par le certificat du serveur. Le problème, c'est qu'une bogue dans le code source a planté la vérification de cette signature par le client. Ce qui permet à un attaquant de réaliser un [Man-In-The-Middle] sans que le client ne s'en apercoive.

Si vous utilisez des produits Apple, vous pouvez tester votre système sur gotofail.com.

Le code-source est public et disponible sur les dépots ouverts d'Apple.

Vus : 1521
Publié par Quack1 : 122