Home > Apple > iPhone et SSL

iPhone et SSL

February 16th, 2008 Leave a comment Go to comments

Cela fait quelque temps que je voulais tester une chose sur mon iPhone. La gestion du SSL par l’application email.

En effet j’utilise imaps pour consulter mes emails depuis mon iPhone et mon serveur email utilise un certificat SSL signé par une autorité de certification (CA) non reconnue par l’iPhone. Lors de l’ajout du compte l’iPhone il previent que le certificat n’est pas valide, propose de continuer ou d’annuler. Si on continue il ne dit plus rien.

Mon intérogation était assez simple, que se passe-t-il si le certificat SSL change sur le serveur ?

En effet, il est assez facile de se retrouver dans un cas de “man in the middle” avec un iPhone, tout particulièrement si on utilise des bornes Wifi ouvertes. Une personne malveillante pourrait alors intercepter la connexion SSL et faire en sorte que la terminaison SSL se termine chez lui (une sorte de proxy SSL). Mais dans ce cas le certificat ne serait plus le même. D’ou ma question : que fait l’iPhone dans ce cas ?

Et bien (très) bonne nouvelle, il dit de nouveau que le certificat n’est pas valide. On peut donc facilement s’apercevoir du problème.

Categories: Apple Tags: , ,
  1. Jeb
    March 6th, 2008 at 13:20 | #1

    Je viens de m’apercevoir qu’il y a de la documentation chez Apple la dessus:
    http://docs.info.apple.com/article.html?artnum=306586

    Il n’y avait donc pas de vérification avant la version 1.1.1

    A noter que http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3754 indique “Mail in Apple iPhone 1.1.1, when using SSL, does not warn …” au lieu de “Mail in version prior to Apple iPhone 1.1.1, when using SSL, does not warn …”

  1. No trackbacks yet.