SektionEins, une société spécialisée dans la sécurité basée à Cologne, a publié samedi dernier un patch pour Mac OS X. Ce correctif a pour but de réparer une faille dans le traitement des protocoles SSL (Secure Socket Layer) et TLS (Transport Layer Security) qui permettent de créer des connexions chiffrées entre un PC et un serveur. Apple, conscient de cette vulnérabilité, a commencé à corriger iOS 7 et 6 en fin de semaine dernière. Cependant, la firme de Cupertino n'a pas émis de correctif pour Mac OS X qui est aussi touché.

Le patch proposé par SektionEins
n'est pas validé par Apple. Ce type de correctif non officiel est rare. Le dernier remonte aux années 2006 et 2007 où un groupe appelé ZERT (Zeroday Emergency Response Team) avait publié plusieurs correctifs pour des bugs dans Windows et Internet Explorer.

Avertissement et alternatives


Pour autant, les utilisateurs doivent se méfier des patchs non officiel car ils n'y a aucune garantie qu'ils fonctionnent et qu'ils suppriment efficacement le code malveillant. Les cybercriminels utilisent depuis des années les mises à jour de sécurité pour installer des malwares. Dans son blog, SektionEins avertit les utilisateurs sur son correctif, « vous ne devez pas l'exécuter sur un système de production ». La société allemande précise qu'elle considère ce patch comme expérimental. « Vous ne devez l'appliquer à vos systèmes que si vous en comprenez le risque ». D'après nos confrères d'IDG NS, le site web de SektionEins fonctionne depuis 2007.

De son côté, Apple a confirmé travailler sur une mise à jour de Maverick. « Nous sommes conscients de ce problème et il y a déjà un logiciel correctif qui sera publié très bientôt », a expliqué un porte-parole de la firme américaine dans un mail à nos confrères d'IDG NS.

En attendant le patch d'Apple, les spécialistes de la sécurité exhortent les utilisateurs à ne pas utiliser leur Mac sur des hotspots Wifi publics.  Par ailleurs, ils recommandent d'utiliser un autre navigateur que Safari par exemple Firefox de Mozilla ou Chrome de Google qui sont plus sécurisés.