Mardi, Apple a sorti iOS 9.2.1 auprès du public. Plusieurs failles de sécurité ont été bouchées, dont une qui a été signalée… en 2013. Skycure, l’entreprise qui l’avait communiquée à Apple en 2013, l’explique aujourd’hui.

Securite-informatique

La faille se présente au niveau d’Internet et plus particulièrement la façon dont iOS interagit avec les portails captifs. On retrouve ces portails quand on essaye de se connecter sur des hotspots Wi-Fi (à l’hôtel, dans un bar, à l’aéroport, etc). L’utilisateur doit alors entrer ses identifiants et/ou accepter des conditions pour accéder à la connexion.

Le problème ne vient pas de là, mais du cookie. Les portails captifs passaient par une fenêtre avec la vue de Safari pour permettre à l’utilisateur de remplir les champs. Problème, les pages ne sont pas sécurisées et un hacker pouvait très bien obtenir les cookies des utilisateurs.

Pour ceux qui ne le savent pas, un cookie est l’équivalent d’une authentification. Quand on se connecte sur Facebook par exemple, Facebook va enregistrer un cookie sur notre navigateur pour se souvenir de nous. Ainsi, nous pouvons revenir sur le réseau social plus tard sans devoir de nouveau nous connecter puisqu’il nous aura reconnus grâce au cookie.

On comprend ainsi que cette faille pouvait être dangereuse, un hacker aurait très bien pu prendre l’identité d’une personne en reprenant ses cookies. Avec iOS 9.2.1, Apple a changé la façon dont sont stockés ces cookies.

Skycure ajoute qu’Apple n’a jamais mis autant de temps pour corriger une faille. Mais pour les défendre, Skycure note que la faille demandait du travail pour être bouchée.