Arrêter les attaques « de l'homme du milieu » affectant les appareils d'Apple | NETSCOUT

Arrêter les attaques « de l'homme du milieu » affectant les appareils d'Apple


par Lisa Phifer


7/3/2014 à 10 h 07

Si vous êtes un utilisateur du système d'exploitation iOS d'Apple, prenez quelques minutes maintenant pour installer le correctif de la semaine dernière venant corriger une erreur manifeste de manipulation de certificat SSL qui a laissé plus de 700 millions d'iPhone, iPad, Apple TV et Mac vulnérables à une attaque « de l'homme du milieu » (Man-in-the-Middle ou MitM).

En voici la raison : la fonction de bibliothèque d'IOS 6.x et 7.x d'Apple SSL/TLS SSLVerifySignedServerKeyExchange, employée par des applications telles que Safari pour valider des certificats de serveur SSL, n'a pas exécuté ses fonctions au cours des six derniers mois. En raison d'une répétition malheureuse d'une ligne de code « goto fail », la fonction s'arrête de vérifier la validité du certificat en cours de processus, en sautant du code qui devrait vérifier la signature du serveur. Le CVE qui détaille cette vulnérabilité est résumé plus en détail dans un récent communiqué national de base de données de vulnérabilité.

En conséquence, les clients SSL sur des dispositifs exécutant iOS 6.x ultérieur à 6.1.6 et 7.x ultérieur à 7.0.6, Apple TV 6.x ultérieur à 6.0.2 et Apple OS X 10.9.x ultérieur à 10.9.2 peuvent se connecter à de faux serveurs SSL sans que cela ne soit détecté. Il est plus facile pour l'attaquant de se faire passer pour un serveur SSL légitime et d'effectuer une pléthore d'attaques MitM, d'intercepter des données soi-disant chiffrées afin de détourner des sessions TCP prétendument authentifiées.

Des réseaux locaux sans fil ouverts constituent une opportunité d'attaque MitM particulièrement judicieuse, puisque de faux serveurs peuvent être hébergés sur des points d'accès Evil Twin. Cependant, les attaques MitM peuvent également être facilitées par la redirection ARP et la corruption du cache DNS. Une fois que le trafic d'un client SSL est routé vers le faux serveur SSL, le bug d'iOS de la semaine dernière rend la pratique recommandée pour éviter des attaques MitM (une authentification renforcée du serveur obligatoire) inefficace.

L'incidence de cette erreur est assez conséquente parce que n'importe quelle application qui utilise cette fonction partage cette vulnérabilité, y compris Safari mais n'importe quelle application iOS qui s'exécute sur un certificat SSL/TLS. En outre, cette vulnérabilité ne peut pas être atténuée en ajoutant une autre forme de chiffrement, comme un tunnel VPN. Les machines clientes doivent être mises à jour pour éliminer cette faille de confiance.

Heureusement, la disponibilité de ce correctif s'est rapidement fait savoir et les fournisseurs d'accès sans fil ont rapidement mis à disposition le correctif d'Apple pour une installation en diffusion en direct. En date d'aujourd'hui, on estime que 77 pour cent des appareils iOS exécutent la version 7.x, tandis que 17 pour cent sont sur 6.x, ce qui laisse moins de 6 pour cent exécutant des versions plus anciennes d'iOS qui ne sont pas affectées par ce bogue. Au cours de la semaine dernière, approximativement 40 pour cent des appareils iOS ont été mis à jour à la version 7.0.6, qui corrige ce problème de validation de certification SSL. Malheureusement, il reste toujours des centaines de millions de dispositifs iOS non protégés.

Les organismes avec une gestion de périphérique mobile en place peuvent avoir une visibilité directe et un contrôle sur bon nombre de ces clients. Cependant, beaucoup de clients qui n'ont pas encore été mis à jour sont susceptibles d'être des BYOD non pris en charge. Les administrateurs WLAN peuvent aider à combler ce vide en utilisant un IPS sans fil afin d'évaluer leurs propres clients sans fil, à l'aide d'une surveillance 24h sur 24 et 7j sur 7 pour détecter le fournisseur et la version du SE et ensuite identifier et établir une tendance indiquant quels clients sur le lieu de travail doivent toujours appliquer ce correctif. Un IPS sans fil peut également être utile pour détecter la présence d'un point d'accès en vue d’un hameçonnage qui peut essayer de tirer profit de clients n'ayant pas appliqué ce correctif.

Même si Apple n'a pas tardé à corriger cette vulnérabilité, les événements de la semaine dernière devraient également servir de sonnette d'alarme. Les organisations doivent être prêtes à encourager une application rapide de ces correctifs pour SE d'appareil mobile à la suite de futures grandes vulnérabilités, et à vérifier les résultats pour permettre l'identification, la localisation et des mesures pour informer et corriger les appareils d'éventuels retardataires vulnérables. Les clients AirMagnet Enterprise de NETSCOUT sont déjà bien placés, avec une infrastructure en place pour répondre à ces besoins - dans ce cas, aidant à éliminer les autres appareils Apple infectés.

 

Ressources WLAN associées
 

Visitez notre centre de ressources pour télécharger des livres blancs sur le BYOD, , visionner des vidéos et des webémissions, et bien plus

Continuez sur notre Blog de la communauté AirWise - une ressource sur la technologie du réseau sans fil

 
 
Powered By OneLink