Fermer le menu
 

Le trousseau de macOS affiche ses mots de passe en clair

Nicolas Furno | | 22:30 |  65

macOS High Sierra n’est pas disponible depuis quelques heures qu’une faille de sécurité assez sérieuse est déjà connue. Un chercheur en sécurité qui a travaillé pour la NSA a présenté sur Twitter la preuve que le trousseau d’accès du système n’est pas aussi sécurisé qu’il devrait l'être. Cet utilitaire est chargé de stocker les mots de passe des sites web, les clés de sécurité des réseau Wi-Fi, mais aussi les numéros de vos cartes de paiement.

Autant dire qu’il contient des informations sensibles qui devraient rester chiffrées tant que vous ne voulez pas les utiliser. Pourtant, ce chercheur a déniché une faille qui lui a permis de créer une app capable de diffuser les données en clair. En passant ensuite par le terminal, il peut afficher tous les mots de passe en texte et certainement toutes les données sensibles enregistrées dans le trousseau d’accès de macOS.

Cliquer pour agrandir
Cliquer pour agrandir

Ce qui est particulièrement inquiétant, c’est que cette faille de sécurité est exploitée sans les autorisations root, c'est-à-dire sans avoir à autoriser le programme avec le mot de passe d’un administrateur sur le Mac. keychainStealer, l’app créée pour la démonstration, peut être lancée directement et elle fait son travail dans les limites de sécurité imposées par le sandboxing.

En théorie, une app ne devrait pas avoir accès au trousseau d’accès. Et même si c’était le cas, elle ne devrait pas pouvoir lire les données sans le mot de passe maître, car elles devraient être chiffrées. C’est une faille très sérieuse qui a été dénichée ainsi et Apple va probablement la régler très rapidement.

L’auteur de cette découverte n’a pas publié de code qui permettrait d’exploiter la faille, laissant ainsi à Apple le temps nécessaire pour réagir et la corriger avec une mise à jour. Cela fait quelques années que macOS améliore ses sécurités contre ce genre d’apps malveillantes, mais il est difficile d’éliminer avec certitude toutes les failles de sécurité.

Notons au passage que le système est configuré par défaut pour ne pas lancer des apps comme keychainStealer, qui ne sont pas signées avec un certificat développeur fourni par Apple. Seule la nouvelle version de macOS est a priori touchée, mais puisque le code source n’a pas été fourni, peut-être que les anciennes versions souffrent de la même faille de sécurité.

[MàJ 25/09/2017 22h48] : la faille de sécurité n’est pas spécifique à High Sierra. Inutile de reporter une mise à jour donc, et espérons qu’Apple corrige la faille au plus vite.


Les derniers dossiers

Ailleurs sur le Web


65 Commentaires Signaler un abus dans les commentaires

avatar Sir Rendal 25/09/2017 - 22:33 via iGeneration pour iOS

Apple. Ce n'est plus ce que c'était !

avatar areayoko 25/09/2017 - 22:45

Pffff :) on va la lire combien de fois celle la ! :)

avatar Ali Ibn Bachir ... 25/09/2017 - 23:22

Apple. Ce n'est plus ce que c'était !



avatar Darwin04 25/09/2017 - 23:35 via iGeneration pour iOS

@Ali Ibn Bachir Le Gros

🤣 🤣🤣

avatar C1rc3@0rc 26/09/2017 - 21:20

Ben en fait, si, mais comme personne n'y regardait de trop pres, on s'en rendait pas compte.

Faut pas faire les naifs, Apple est une societe de droit americain, soumis au droit americain et aux textes divers et variés, dont ceux du Partiot act, qui imposent de laisser a l'etat et ses agents des acces aux données gerees par l'OS et le materiel.

Si on regarde deux minutes "la faille" dont il est question, c'est tout sauf une erreur de realisation. Je veux bien qu'il existe des programmeurs incompétents, mais enfin la tout de meme, un acces en clair a des données censées etre chiffrées et meme pas protégées par un droit d'utilisateur de base d'Unix, c'est volontaire, c'est impossible autrement.
Apres, le fait que ce soit exploitable par n'importe qui s'en donne un peu les moyens, ça c'est surement pas volontaire, et le fait que cela ait pu etre "decouvert" par un "officiellement" non-agent d'etat (heuuuu ah si il etait de la NSA.... on dit lanceur d'alerte?)

avatar Hasgarn 26/09/2017 - 07:23 via iGeneration pour iOS

@areayoko

Mer il et fou

avatar mssinkro 25/09/2017 - 22:34 via iGeneration pour iOS

Cet informaticien bienveillant se verra offrir un iPhone X pour sa découverte.

avatar IphoneX 25/09/2017 - 23:50 via iGeneration pour iOS

Seulement un iphoneX ? Lol . Ils sont payés énormément pour trouver ce genre de faille.

avatar melaure 26/09/2017 - 08:06

Effectivement,

mais surtout il faut savoir quelles sont toutes les versions d'OS X impactées ...

avatar RedMak 25/09/2017 - 22:36 via iGeneration pour iOS

Oh pu€&@ ! C’est vraiment VRAIMENT tres TRES grave !!!!!

avatar Ali Ibn Bachir ... 25/09/2017 - 23:24

Je ne laisse pas macOS gérer mes mots de passe pour ça. Je n'avais qu'une confiance modérée dans leur trousseau d'accès. Maintenant, je n'ai plus confiance du tout.

Mon gestionnaire de mots de passe favori risque de le rester.

avatar rimshot 26/09/2017 - 00:08 via iGeneration pour iOS

@Ali Ibn Bachir Le Gros

Jusqu’à ce qu’une faille soit trouvé dans ton logiciel favori. Il y a des failles partout, et plutôt moins chez Apple qu’ailleurs....

avatar lmouillart 26/09/2017 - 06:36

"Il y a des failles partout, et plutôt moins chez Apple qu’ailleurs...." : c'est pas faux, enfin si mais on s'en fiche.
http://www.cvedetails.com/top-50-vendor-cvssscore-distribution.php

avatar Ducletho 26/09/2017 - 11:18 via iGeneration pour iOS

@rimshot

Le moins qu’ailleurs ... est de trop
Tu veux dire autant qu’ailleurs ?

avatar macam 26/09/2017 - 00:11

@ali :
Je n'ai entièrement confiance ni dans l'un ni dans l'autre : je n'y mets que les mots de passe de sites non sensibles.

avatar NORMAN49 26/09/2017 - 13:33

Pour ma part, j'aimerais un petit utilitaire qui me listerait tous mes mots de passe (en root bien entendu) histoire de ranger ça quelque part.
... quand on est vieux jeu, on aime le papier ;-)

avatar supermars 25/09/2017 - 22:42 via iGeneration pour iOS

INADMISSIBLE !

avatar Abelingrand 25/09/2017 - 22:42 via iGeneration pour iOS

Pas spécifique à High Sierra a priori: https://twitter.com/patrickwardle/status/912392633909047296

avatar Nicolas Furno macG 25/09/2017 - 22:54

@ Abelingrand :

Bien vu, j'ai mis à jour l'article. Merci !

avatar fousfous 25/09/2017 - 22:43 via iGeneration pour iOS

Au fait c’est normal qu’APFS ne fait pas gagner de stockage ni que les temps pour afficher la taille d’un dossier ne changent pas?
En plus de safari qui ne coupe pas les vidéos automatiques...

En gros on dirait qu’ils n’ont pas mis les nouveautés, c’est con parce qu’il y en a pas beaucoup de base...

avatar ErGo_404 25/09/2017 - 22:58

APFS fait gagner de la place essentiellement quand tu copies des fichiers.
Mais je ne pense pas que le système de conversion vers APFS soit assez intelligent pour supprimer les copies déjà en place avant la mise à jour.

De plus, si ton macOS est installé sur un disque dur, tu n'auras pas non plus droit à APFS donc aucun gain de rapidité.

avatar TrollMan06 25/09/2017 - 23:20

@ fousfous

Entièrement d'accord. Je suis sur un pro 13 pouces de 128Go (SSD) je n'ai rien gagné en place et je ne vois aucune différence dans la vitesse du système

avatar macam 26/09/2017 - 00:21

Si, Safari 11 bloque les vidéos : il faut aller dans "Réglages pour ce site web", puis placer la flèche de la souris à droite de "Lecture automatique" pour se voir proposer quel type de blocage on souhaite (par défaut Safari est réglé sur le seul blocage du son).

avatar fte 26/09/2017 - 00:36 via iGeneration pour iOS

@fousfous

"En gros on dirait qu’ils n’ont pas mis les nouveautés, c’est con parce qu’il y en a pas beaucoup de base..."

Si si, il y a plein de nouveaux bugs. On ne fait qu'en voir le début. Les forums américains sont tout frétillants déjà.

avatar machin44 25/09/2017 - 22:44 via iGeneration pour iOS

Cette cadence ridicule d’un OS par an.
Tous les trois ans, c’est très bien...

Pages