Nous utilisons des cookies pour améliorer votre expérience.

MacBidouille

[Mise à jour] Apple sommé de bloquer les certificats SSL volés

Depuis que des certificats SSL de DigiNotar ont été volés, le monde de la sécurité est en émoi. Ces certificats permettent en effet de faire croire à des internautes qu'ils sont connectés à des sites légitimes et sécurisés alors que des pirates ont en fait détourné leur connexion.
Or, ce sont plus de 500 de ces certificats qui ont été dérobés le 30 août dernier. Depuis, devant les risques provoqués par ce qui est une énorme faille potentielle, Google, Mozilla, Opera et même Microsoft ont mis à jour leurs navigateurs ou systèmes d'exploitation afin de révoquer ces certificats.
Au moment où nous écrivons ces lignes, Mac OS X avec Safari est le dernier système vulnérable aux attaques que permet ce vol, ce qui provoque l'émoi de la communauté de la sécurité qui de manière unanime demande à Apple d'agir dans les plus brefs délais.

Il en va non seulement de la sécurité des utilisateurs, mais aussi de la crédibilité de Mac OS X et d'iOS dans les domaines professionnels et sensibles. Si l'on peut saluer les efforts qu'a faits Apple ces derniers temps en terme de sécurité, ils ont hélas encore trop d'inertie dans certains cas et prennent trop de temps. C'est par exemple également le cas pour la faille LDAP introduite avec Lion et découverte le 25 juillet dernier. Elle permet de se connecter en rentrant n'importe quel mot de passe...

[Màj] Un lecteur des forums nous a conseillé une manipulation pour révoquer manuellement ces certificats :

  • Lancez le logiciel Trousseau d'accès (dans Applications/Utilitaires).
  • Dans le champ "Recherche", rentrez DigiNotar
  • Double-cliquez sur le certificat et dans le champ "Lors de l'utilisation de ce certificat" choisissez ne jamais approuver.
  • Fermez le certificat et validez vos changements en rentrant votre mot de passe administrateur. 
  • [Màj2] On nous a conseillé de plutôt effacer ces certificats. Pour ça, au lieu de double cliquer sur le certificat, faites un click droit et choisissez de le supprimer ce qui sera fait une fois le mot de passe administrateur rentré et l'application Trousseau d'accès fermée.
Sondage

Pensez-vous encore qu'Apple puisse révolutionner vos usages informatiques ?