iTunes : la faille de sécurité avait fêté ses 3 ans

Trois ans pour corriger un bug de sécurité dans iTunes pour Windows. C'est le constat dressé par le blog KrebsonSecurity à propos d'une faille qui avait été signalée à Apple en juillet 2008 par le chercheur argentin Francisco Amato. Ce n'est qu'à l'occasion de la dernière mise à jour 10.5.1 d'iTunes, sortie le 14 novembre, que la faille a été comblée. Amato est d'ailleurs crédité de cette découverte. Ce bug permettait d'utiliser de façon malicieuse la fonction de recherche des mises à jour d'iTunes. L'application envoie automatiquement des requêtes HTTP et il s'avérait possible de lui retourner une URL qui ouvrait le navigateur web et conduisait l'utilisateur sur un faux site Apple, d'où il aurait pu télécharger un cheval de Troie. La situation pouvait se présenter sur PC si Windows était dépourvu du module Apple Software Update et s'appuyait donc sur le navigateur pour accéder aux mises à jour. Sur Mac on passe nécessairement par Mise à jour de logiciel. Apple a donc établi une connexion sécurisée depuis iTunes 10.5.1. Cette technique d'intrusion était promue auprès de gouvernements pour infiltrer des ordinateurs. Des alertes de mises à jour pour Flash, OpenOffice, Java, Winamp… pouvaient aussi servir de vecteurs de diffusion de ces Troyens. Dès l'instant que le logiciel a une fonction de recherche des nouvelles versions et que l'info reçue n'est pas signée par l'éditeur, il y a un risque, expliquait justement KrebsonSecurity en 2008 à propos de cette catégorie de failles. Mais la question s'agissant d'Apple est de savoir pourquoi il aura fallu si longtemps pour combler la faille. Le délai dans le cas présent est tellement surréaliste que l'on peut penser à… un oubli.