Merci au lecteur, Monsieur Z, pour le contenu très intéressant de cette brève.À quelques jours du lancement d’OS X El Capitan, il me semble important de rappeler un aspect de la politique d’Apple vis à vis des mises à jours de sécurité et mettre en lumière certaines faiblesses des anciennes versions de
Safari qui risquent de devenir bien plus problématiques en 2016.Échec de négociation TLS entre Safari 6.1.6 et le serveur d’un sympathique hacktiviste configuré uniquement pour de la crypto moderne.Apple fournit traditionnellement des mises à jour de sécurité pour la version courante d’OS X ainsi que les deux précédentes, cela signifie que les utilisateurs de Mountain Lion (OS X 10.8) seront prochainement laissés à l’abandon. Avec la politique de gratuité d’Apple vis-à-vis d’OS X migrer vers une version plus récente n’est pas réellement un problème, en pratique le Mac App Store ne propose que la version courante d’OS X.Mon propos n’est pas de vous faire peur en vous expliquant qu’un Mac avec un vieux système dont la sécurité est délaissée finira nécessairement enrôlé dans un botnet qui servira sporadiquement à mener des attaques DDoS ou des campagnes de SPAM à votre insu. Mais il y a toutefois un logiciel qui pose un problème particulier : Safari, plus précisément les vieilles versions antérieures à la 7 (donc avant Mavericks OS X 10.9).Il y a actuellement en service, au niveau mondial, près de 25 % de navigateurs sur ordinateurs (hors tablettes et smartphones) qui ne supportent pas la crypto moderne… au rang desquels figurent Safari 6 et 5.Résultat de l’analyse réalisée pour Safari 6.1.6 par le site How’s my SSL?La cryptographie moderne dans le contexte du web ça veut principalement dire TLS 1.2 avec du chiffrement AES-GCM et quelques raffinements, par opposition à TLS 1.0 ou pire SSLv3.Pour faire simple, lorsqu’un navigateur web accède à un site sécurisé en HTTPS (donc avec le fameux et ...
Flux RSS Mac
