Après la mise à jour d'iOS pour ses terminaux mobiles, Apple livre OS X 10.9.2 en version finale pour ses ordinateurs Mac et corrige ainsi le gros souci avec la validation de l'authenticité d'une connexion sécurisée.

Cette faille a fait beaucoup parler d'elle ces derniers jours. Elle se situe au niveau de la bibliothèque Secure Transport qui est une implémentation des protocoles SSL et TLS pour des connexions chiffrées. Elle permet un contournement des vérifications pour l'établissement de connexions chiffrées.

Un attaquant ayant accès au même réseau que celui de l'utilisateur - cas d'un réseau Wi-Fi public - est en mesure d'intercepter et modifier des données en se faisant passer pour une source sûre, à savoir un service dont le chiffrement a été vérifié.

goto-fail La vulnérabilité est présente depuis des mois et due à une répétition malencontreuse d'une ligne de code goto fail faisant que des connexions sécurisées sont validées indépendamment de la validité ou non d'un certificat. Une vraie gaffe d'Apple selon certains chercheurs en sécurité. Et à l'ère post-Snowden, les plus suspicieux imaginent une erreur volontaire permettant de l'espionnage.

La correction de la faille dans OS X 10.9.2 est annoncée de manière anodine au milieu d'une liste d'une trentaine de corrections de sécurité dont pour des modules open source du système d'exploitation. Ce qui est regrettable est la forme d'attentisme d'Apple tandis que des corrections sérieuses ne sont pas présentées comme telles.

La firme à la pomme ne donne aucun indice de gravité pour les corrections, contrairement par exemple à Google, Mozilla ou encore Microsoft qui en dépit de critiques pour son Patch Tuesday a fait de la sécurité une de ses propriétés et communique largement dans ce domaine où la politique du secret d'Apple est irritante. Avec un peu plus de communication d'Apple, les utilisateurs seraient mieux conscients des dangers potentiels et ainsi plus prudents.


Au-delà de la sécurité
OS X 10.9.2 ne se résume toutefois pas uniquement à une grosse mise à jour de sécurité. Plusieurs fonctionnalités font leur apparition dont les appels audio FaceTime, la prise en charge du signal d'appel sur FaceTime, la possibilité de bloquer les iMessages entrants d'expéditeurs individuels.

De traditionnelles corrections de bugs et améliorations sont au programme. Apple continue en outre de plancher sur Mail et ses problèmes au long cours depuis la publication de Mavericks.