Quelle sécurité dans les nuages, 4

Selon le YGN Ethical Hacker Group, le portail développeurs d’Apple serait ouvert aux quatre vents.

20110630-055536.jpg

Trois failles auraient été découvertes par ce groupe de hackers qui se veut bienveillant. Ces trois failles sont liées et ouvrent la porte à des redirections arbitraires, une séparation de réponse HTTP, et une attaque XSS. Un pirate pourrait diriger l’utilisateur vers un site malveillant sans que celui-ci ne puisse s’en rendre compte, l’adresse affichée étant toujours developer.apple.com. Il pourrait ensuite récupérer identifiant et mot de passe avec une page bien imitée, toujours sans se faire remarquer.

Apple aurait été alertée dès le 27 avril, mais n’aurait pas colmaté correctement ces failles. Oracle, avertie dans le même temps pour des problèmes similaires, a réagi en une semaine et a remercié le groupe. YGN menace désormais de publier ses trouvailles sur une liste publique. Le portail développeurs d’Apple a été à plusieurs reprises injoignable ces dernières heures.

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s