A compter du 29 octobre, Apple ne supportera plus le protocole de chiffrement SSL 3.0 dans lequel a été trouvé une faille sévère de sécurité. Dans une note aux développeurs, il leur indique que son service de notification en mode push (APN) va être mis à jour et qu'il leur faudra peut-être faire des modifications sur leurs serveurs pour conserver la compatibilité.
La semaine dernière, des ingénieurs de sécurité de Google ont décrit la faille de conception qu'ils ont trouvée dans la version 3.0 du protocole Secure Sockets Layer, un logiciel utilisé depuis plus de 15 ans. Celui-ci a été remplacé par TLS (Transport Layer Security) mais SSL 3.0 est toujours utilisé par certains serveurs et navigateurs web. L'équipe de Google a montré, à travers le développement d'une attaque (de type man-in-the middle), dénommée Poodle, comment il était possible de contourner SSL/TLS pour repasser vers SSL 3.0 et tirer parti de la faille pour voler les cookies d'authentification d'un utilisateur. L'attaquant et la victime doivent être sur le même réseau, ce qui expose par exemple les personnes recourant à un réseau WiFi public.
Tester l'envoi des notifications dans l'environnement de développement
Dans sa note, Apple précise que les fournisseurs utilisant seulement SSL 3.0 devront supporter TLS aussi rapidement que possible pour que le service de notification push continue à fonctionner normalement. Ceux qui supportent à la fois TLS et SSL 3.0 ne seront pas affectés. Pour vérifier la compatibilité, Apple a déjà désactivé SSL 3.0 sur l'interface Provider Communication, uniquement dans l'environnement de développement. Il est possible d'y tester dès maintenant l'envoi des notifications vers les applications.
De nombreuses sociétés ont déjà arrêté de supporter SSL 3.0. La découverte de cette faille succède à la mise à jour d'autres vulnérabilités, présentes depuis longtemps dans certains logiciels, mais récemment découvertes. Ce fut le cas, au printemps dernier de Heartbleed, dans la bibliothèque de chiffrement OpenSSL. Plus récemment, la faille Shellshock (ou bash) a été trouvée dans l'interpréteur bash de GNU/Linux et de Mac OS X.