Une app peut capturer l’écran de votre Mac sans votre consentement

Nicolas Furno |

Les contraintes imposées par Apple à toutes les apps qui veulent trouver leur place sur le Mac App Store ne suffisent pas à éviter toutes les failles de sécurité, même si cela n’y ressemble pas à première vue. Felix Krause a trouvé un moyen original pour qu’une app puisse récupérer à votre insu tout le contenu affiché sur l’écran de votre Mac, tout en respectant les exigences de sandboxing de la boutique.

Son idée est de faire une capture d’écran de macOS avant d’appliquer un traitement de reconnaissance optique des caractères (OCR) pour y trouver des informations intéressantes. Il peut s’agir des sites que vous visitez, mais aussi de vos identifiants et même de vos mots de passe. Pour cela, il suffit de faire des captures d’écran très régulières et si l’utilisateur affiche un mot de passe dans son gestionnaire, ne serait-ce que brièvement, il sera enregistré et analysé.

Concept développé par Felix Krause, qui récupère effectivement des informations sensibles tout en respectant les conditions de du Mac App Store.

La possibilité de prendre une capture d’écran est accessible à n’importe quelle application macOS avec quelques lignes de code seulement. Il n’y a aucune autorisation préalable à obtenir pour que ces lignes soient fonctionnelles et le système n’alerte pas l’utilisateur, par exemple de façon visuelle comme sur iOS. En clair, une app distribuée sur le Mac App Store et respectant toutes les consignes de cloisonnement d’Apple pourrait se transformer en malware qui analyse en permanence ce que vous faites sur votre ordinateur et l’envoie sur un serveur tiers.

Apple a été notifié de cette faille dans la sécurité de macOS et on imagine qu’une future version du système bloquera cette possibilité. Ou au moins, s’assurera que l’utilisateur autorise une app à faire des captures d’écran, en général ou au cas par cas.

avatar TheG | 

?‍♂️
Ahlala

avatar reborn | 

Il faudrait que macOS deviennent autant fermé qu’iOS.

avatar C1rc3@0rc | 

@reborn
«Il faudrait que macOS deviennent autant fermé qu’iOS.»
La fermeture c'est la meilleure des garanties de securité, c'est bien connu...

Sinon, ici la faille c'est pas que la l'application puisse enregistrer l'ecran c'est qu'elle puisse le faire sans avoir reçu l'autorisation explicite.

On est encore dans un probleme de conception de la part d'Apple. Le principe de prendre l'utilisateur pour un neuneu qu'il ne faut surtout pas ennuyer mais rançonner et piller systematiquement et encore a l'origine de cette imbecilité.
C'est comme pour le compte root et autres "évitement de désagréments": plutot que de responsabiliser l'utilisateur, de luis donner les moyens de ses pouvoirs et responsabilités, on l'empeche de choisir et d'avoir le controle.
Et qu'est ce que tu preconises, en bon gardien du temple, dans la ligne habituelle qu'est devenue celle d'Apple: supprimer la fonction!!! Ben tiens!

C'est pourtant pas difficile a comprendre: l'OS controle tout l'acces au materiel et les entrees/sorties de données, c'est son role.
L'application fait ce que l'OS lui permet de faire.
Si on donne a l'utilisateur le pouvoir de decider si l'application peut acceder au reseau, peut filmer l'ecran, peut acceder au micro, a la camera,... c'est etre dans le role qu'est celui de l'OS et donner le role qu'est le sien a l'utilisateur.
Les gens sont pas encore totalement des abrutis anesthesiés, ils sont capables de comprendre qu'un traitement de texte ou un navigateur, n'a pas a faire des copie de l'ecran si a acceder au micro...

avatar reborn | 

@C1rc3@0rc

C’était ironique hein, un macOS totalement verrouiller devient un iOS.

Bon sinon cette "faille de conception" date donc d’il y a un moment.

Mais qu’a fait Jobs ? C’était pas supposé être parfait avec lui ?.. ?‍♂️

avatar iPop | 

@reborn
Mais qu’a fait Jobs ? C’était pas supposé être parfait avec lui ?.. ?‍♂️

C’était parfait sur le moment, ça l’est plus malheureusement.

avatar Ramlec | 

@C1rc3@0rc

Ça me casse déjà royalement les couilles sur iOS alors si c’est pour avoir des pop up sur Mac, non merci !

avatar subsole | 

La fête continue .....................

avatar lesurfeurfou | 

C’est l’hémorragie !!!

avatar ckermo80Dqy | 

Si c’est vraiment si facile, c’est gravissime.

avatar roccoyop | 

On n peut pas faire ça sur les autres systèmes aussi, comme Linux ou Windows par exemple ? Ils ont des protections spécifiques ou c'est le même problème ?

avatar byte_order | 

C'est le même problème.

Pour info, les fabricants de carte graphique ont par définition accès à tout instant au contenu de votre écran. Un pilote graphique peut donc parfaitement "lire" votre écran aussi. Pire, vu la puisse des GPU désormais, faire de l'OCR sans que cela apparaisse même dans l'activité visible (% de CPU d'un processus, etc) par l'utilisateur.

avatar SyMich | 

Si tu vas par là, c'est encore pire pour les fabricants de disques durs et SSD! ?

avatar byte_order | 

Pas vraiment, car la puissance de traitement embarqué dans les contrôleurs HD et SSD est nettement plus réduite d'une part, et d'autre part une partie non négligeable de vos données personnels ne sont pas forcément persistantes sur disque mais sur Internet.

Je pense qu'il est plus facile d'installer un malware qui viendra discrètement s'ajouter au code des shaders de votre GPU sans que vous le remarquiez (comme font les OSD qui s'ajoutent par dessus vos jeux - okay ceux là se remarque puisque c'est l'objectif, mais l'idée est la même) que d'installer un truc dans le firmware d'un contrôleur HD ou SSD.

avatar pommedor | 

Ya pire, le clavier *fear*

avatar huexley | 

C'est vraiment génial j'adore ! Quelle inventivité.

avatar r e m y | 

Faudrait supprimer l'écran! ?

avatar aspartame | 

il me semble plus sécuritaire de laisser l'écran , mais de supprimer l'UC ...

on évite ainsi aussi les failles réseau , processeur gruyère , etc...

avatar melaure | 

@r e m y

C'est prévu dans les prochains MBP, plus d'écran, prix doublé ;)

avatar Minileul | 

Mais par contre on ne peux pas faire de capture d’écran sur une vidéo propriétaire, « obliger» de télécharger illégalement pour en profiter... c’est quand même bizarre

avatar Mac13 | 

Capturer écran ? Et s'il y a enregistrement vidéo écran pour mac ? (À part QuickTime)

avatar iPop | 

@Mac13

Il parle de vidéos protéger par des DRM : iTunes, DVD
Qui sont protégés contre la copie.

avatar pagaupa | 

Et Apple ose nous parler de sécurité? ?
Que de la com! Le roi du bla bla...

avatar iPop | 

Cela m’étonne presque pas, première faille de macOS : toutes les applications se superposent. Et je ne cite même pas le bureau.

avatar iPop | 

Il serait temps que macOS prenne une bonne retraite mérité, je ne vois pas l’intérêt de perdre du temps à transformer macOS en iOS.

avatar reborn | 

@iPop

Mon avis (et je l’espère) c’est qu’il y a de gros chantier en cours sur macOS.

La gestion des fenêtres doit être modernisé, le dock aussi.

avatar IPICH | 

@iPop

Il faudrait surtout le recommencer de zéro en gardant plusieurs bases. Moi j'aime macOS, juste ces derniers temps Apple fait n'importe quoi et notamment sur macOS.
Mais les MacBook comme tous les of doivent continuer d'exister, il est inconcevable de tout faire sur iPad!
Seuls les lambdas n'utilisant que peu leur ordi voudraient utiliser leur iPad en remplacement.

avatar iPop | 

@IPICH

Je ne suis pas certain. Suffit de voir la Surface qui joue entre deux chaise : interface vieillotte, moderne, tablette, etc...
Je suis un pro de l’image et toutes les interface d’Adobe sont mal foutu, chargé, redondante, etc...
Alors soit on garde le bordel pour contenter les vieux soit on fait un bon en avant; le hic c’est que personne ne conçoit le bon en avant.

avatar Moonwalker | 

Il suffit donc… de ne pas l’installer.

Ça tombe bien. Le système a déjà un logiciels dédié aux captures d’écran (Capture) et j’ai un excellent OCR.

avatar pasc75 | 

Je n’ai pas l’impression que le problème vienne d’applications spécifiques de capture d’écran mais de n’importe quel logiciel qui intègrerait une possibilité de capturer nos écrans et s’enverrait les captures pour un usage malveillant.
Si j’ai bien compris...

CONNEXION UTILISATEUR