Pas de solution magique pour 1Password et la dernière faille d'OS X

Florian Innocente |

AgileBits a publié un long billet suite à la révélation de plusieurs failles de sécurité dans OS X et iOS qui ont des conséquences sur 1Password, ses concurrents et toutes sortes d'autres applications. Jeffrey Goldberg conclut son exposé par quelques conseils qui ne peuvent toutefois apporter de solution complète car, justement, il n'en existe pas à ce jour.

1Password mini

Les chercheurs à l'origine de ces découvertes ont mis au jour quatre problèmes d'importance. Dans le cas d'AgileBits cela se situe entre l'extension 1Password installée dans les navigateurs web et 1Password mini, accessible depuis la barre des menus. Ce dernier sert de passerelle avec l'application 1Password qui contient les mots de passe et autres données confidentielles.

Un malware spécialisé, écrit Jeffrey Goldberg, peut obtenir certaines informations envoyées par l'extension 1Password à 1Pasword mini dans certaines circonstances « mais en gros, un tel malware ne peut pas faire beaucoup plus (et même beaucoup moins) que tout autre extension de navigateur malveillante installée dans votre navigateur web ».

La menace vient du fait qu'une application Mac malveillante peut se faire passer pour 1Password mini dès lors que l'extension 1Password du navigateur est concernée et que le timing est le bon. Dans ce cas, le faux 1Password mini peut recueillir des informations de connexion à un site envoyées par l'extension du navigateur 1Password. Les chercheurs ont démontré qu'il était possible d'installer une application malveillante qui pourrait être capable de se placer dans la position d'intercepter des mots de passe transmis à 1Password par le navigateur. Notez que cette attaque ne donne pas un accès complet à vos données 1Password, mais seulement aux mots de passe envoyés par le navigateur à 1Password mini. En ce sens, l'intrus obtient le même genre d'informations qu'aurait une extension malveillante si vous n'utilisiez pas 1Password.

« Le sandboxing est une bonne chose pour la sécurité », poursuit le développeur, mais il limite les interactions possibles et les échanges de données entre l'extension pour les navigateurs et l'application 1Password. D'où le choix d'utiliser 1Password mini entre les deux. Cela a comme autre avantage que les mots de passe sont conservés en dehors du navigateur (qui n'est pas le lieu le plus sûr au monde).

Le problème est qu'il n'y a aucun moyen fiable à ce jour pour que l'extension et 1Password mini puissent mutuellement s'assurer qu'ils sont des logiciels légitimes « Nous utilisons plusieurs méthodes d'identification séparées, mais chacune à ses limites et aucune n'est parfaite ». D'où le fait qu'une application peut se substituer à 1Password mini.

AgileBits a discuté avec ces chercheurs depuis novembre dernier mais d'un côté comme de l'autre, personne n'a trouvé de vraie bonne solution.

Restent quelques conseils d'usage pour limiter les risques. L'équipe de chercheurs a démontré que le malware devait être lancé avant 1Password mini pour pouvoir agir. Le mieux est alors de cocher l'option dans les préférences de 1Password pour que son compagnon soit toujours actif.

L'autre conseil de bon aloi est de n'installer que des logiciels dûment validés en allant dans les préférences Sécurité et confidentialité d'OS X. Mais le malware qui a servi à prouver l'existence de ces failles système a précisément été validé par Apple pour une distribution par le Mac App Store. La balle est ici dans le camp d'Apple, constate Jeffrey Goldberg.

Le développeur liste d'autres solutions techniques qu'AgileBits pourrait mettre en œuvre. Mais elles seraient tantôt aux dépens du confort d'utilisation (par exemple un code de quelques chiffres qu'il faudrait taper à chaque ouverture de 1Password mini ou à chaque activation de l'extension) tantôt aux dépens de la capacité du logiciel à fonctionner avec tous les navigateurs. Jeffrey Goldberg ajoute que la version iOS, de par son fonctionnement, n'est a priori pas soumise aux mêmes risques que sur OS X mais des tests sont en cours sur ce point.

avatar iDidier | 

Les mots de passe sony… Et si on a d'autres marques ?… ;-)

avatar demop | 

Le mieux est simplement d'utiliser le trousseau de clé d'Apple

avatar oomu | 

Le mieux est d'installer quasiment aucun logiciel (uniquement ceux dont on a besoin, reconnus et téléchargés de source de confiance (pas download.com et autre cnet donc...)

et d'éviter un abus d'automatisation.

-
et perso, je ne suis pas chaud à voir le navigateur se transformer toujours + en plateforme applicative (code natif, accès au GPU, et j'en passe).

avatar Tigrounet | 

@demop
https://www.macg.co/os-x/2015/06/des-failles-de-securite-majeures-au-coeur-dos-x-et-ios-89550
Le trousseau est également concerné par une faille de sécurité :\

avatar oomu | 

amusant

mais justement je n'utilise pas 1password Mini ou l'extension Safari (malgré mon usage immodéré de 1password en LOCAL) car je me suis toujours méfié du risque théorique de bug ou faille dans ce modèle.

avatar iphonophile | 

@oomu :
Idem

avatar elmatador43 | 

Pourquoi j'ai la forte impression que la solution ne tarderai pas à venir sous forme d'une mise à niveau à une fonction, voire une nouvelle version moyennant un paiement..."Dehors c'est toujours pareil, c'est toujours pareil..."[F.Cabrel]

avatar oomu | 

non, c'est fondamentalement à Apple de fournir un mécanisme encore + bridé et restrictif.

Apple finira par brider (ou interdire) IPC avec les apps signées, d'imposer un verrouillage des accès aux entrées du trousseau, etc.

Os X est dans cette voie depuis quelques années. Tous les mécanismes standards hérités de Unix ou NeXTstep sont progressivement verrouillés ou supprimés.

-
Aussi,
je ne vois pas pourquoi vous avez cette opinion de AgileBits.

Face au problème de sécurité, si Os X propose une nouvelle API, l'entreprise l'ajoutera dans une version mineure ou semi-majeure.

Ne passera en payant qu'éventuellement une nouvelle interface, l'usage de metal pour un super cryptage GPU de ouf-malade, le support sécurisé d'une apple watch ou que sais je ? quelque chose qui est fonctionnellement "nouveau".

avatar CBi | 

Est-ce qu'on peut aussi éliminer 1password mini ? Personnellement j'ai aussi coché "toujours laisser 1passwordmini en exécution" mais en fait je ne m'en sers jamais. Quand j'ai besoin d'un mdp je me connecte toujours à l"app principale.

avatar lll | 

Sans rire, c'est la meilleure solution ! Inséré au milieu d'un dictionnaire épais, avec pour plus de sécurité une astuce personnelle (retirer tous les R, remplacer les A par des Z, etc.). Une feuille de papier, ça reste le truc le plus facile à cacher.

avatar Giloup92 | 

Une solution garantie 100% anti-pirates : noter ses mots de passe (tous différents et de longueur suffisante) sur une feuille de papier !

avatar Hideyasu | 

@Giloup92 :
Puis le jours où t'es cambriolé t'as plus rien, super solution ^^

Le trousseau est très bien sinon :)

avatar debione | 

Oui! La semaine dernière je me suis fait cambrioler... Ils n'ont pris que les papiers ou il y avait des trucs gribouillé dessus... ;) Sont malins ces hackers... Ou alors c'est les commentaires...

avatar r e m y | 

@ideyasu et pinocu

Le trousseau est le premier concerné par cette faille!

avatar flobipro | 

Apple et Tim Cook c'est l'heure de se bouger et combler les lignes de codes !

avatar vincentbls | 

Mentionnons aussi que depuis hier la synchronisation via iCloud est complètement en rade : https://discussions.agilebits.com/discussion/42923/status-update-icloud-failed-to-fetch-some-record-zones#latest

avatar Lestat1886 | 

Un code pour zcceder a son trousseau de codes? Ironique :)

avatar broc_058 | 

Il semble qu il soit préférable de mettre un mot de passe pour le trousseau OS X différent de celui de l ouverture de session.
Cela éviterait que le malware puisse agir. Si j ai compris le mécanisme, celui effacera le trousseau ou le remplacerait.
La documentation est assez peu claire.
On part toujours du même problème.
Suite à une modification de priorité du système par l utilisateur, on détruit un fichier sensible. On pourrait vais sur le chroot par un alias le fichier du trousseau.

avatar sachouba | 

Chut ! C'est Apple, donc il n'y a pas de failles !

avatar Orion | 

Apple protège mieux vos données personnelles que la concurrence… Voilà voilà voilà…

CONNEXION UTILISATEUR