Ouvrir le menu principal

MacGeneration

Recherche

macOS : nouvelle faille dans le contrôle des accès aux fichiers

Florian Innocente

mardi 30 juin 2020 à 19:30 • 20

macOS

Le développeur Jeff Johnson a mis en lumière une nouvelle faille de sécurité dans macOS permettant à une application d'accéder à des fichiers qu'elle n'est pas supposée pouvoir lire et manipuler.

Cet ancien de l'éditeur Rogue Amoeba (Airfoil, Audio Hijack) avait déjà repéré un problème l'année dernière (lire Excédé par Apple, un chercheur en sécurité rend publique une faille de sécurité de macOS). Pour celui-ci, découvert en septembre dernier, il explique qu'il est reproductible dans Mojave, Catalina ainsi que Big Sur. En janvier, Apple l'a assuré qu'il serait corrigé pour ce printemps mais rien n'a bougé depuis.

Ce défaut apparaît dans le système « Transparency, Consent, and Control » né avec Mojave et conçu pour réguler l'accès par les applications à certains dossiers et fichiers critiques (des réglages que l'on peut ajuster dans le panneau de préférences « Sécurité et confidentialité » puis « Fichiers et dossiers » sous l'onglet « confidentialité »).

Après avoir dupliqué Safari, Jeff Johnson a utilisé une application de sa facture pour modifier cette copie du navigateur, accéder à des fichiers normalement réservés (en l'occurence la liste des sites que vous visitez le plus) et les envoyer vers un site web. Il se repose pour cela sur le fait que Safari exécute en interne du JavaScript pour afficher par exemple le panneau de préférence des extensions.

Pour ce développeur, le système de protection des accès de macOS n'est pas assez strict dans la manière dont il vérifie si une application peut accéder à des fichiers normalement restreints :

Ainsi, un attaquant peut faire une copie d'une application à un emplacement différent sur le disque, modifier les ressources de la copie et la copie de l'application, avec des ressources modifiées, aura toujours le même accès aux fichiers que l'application d'origine, qui dans ce cas se trouve être Safari.

Lassé de voir Apple tarder à s'emparer de ce problème et déçu de ses précédentes relations avec l'équipe de sécurité et de son programme de récompense, il estime qu'au bout de neuf mois il peut s'autoriser à publier le détails de sa découverte. Il juge également que les protections mises en place par Apple dans macOS ne tourmentent finalement que les développeurs honnêtes, les autres pouvant encore trouver des voies détournées pour arriver à leurs fins.

Quant à ce défaut, le seul moyen de s'en prémunir est déjà connu: il suffit de ne pas télécharger n'importe quoi de n'importe où, même si ces applications semblent légitimes.

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Entre dérives, intégration dans les Tesla et nouvelle version, la semaine agitée de Grok et xAI

12/07/2025 à 16:30

• 35


Vos fichiers à l’abri pour toujours : l’offre pCloud qui tombe à pic 📍

12/07/2025 à 10:30

• 0


Sortie de veille : après le départ du n°2 d’Apple, Tim Cook est-il le prochain sur la liste ?

12/07/2025 à 08:00

• 44


Notre top 5 des accessoires à avoir pendant les vacances (et en promo) !

11/07/2025 à 23:52

• 26


Dernières heures du Prime Day - les offres à ne pas rater : AirPods, serrures HomeKit, Microsoft 365… 🆕

11/07/2025 à 23:40

• 29


Prime Day : les promos Apple (et high-tech) les plus populaires

11/07/2025 à 23:30

• 5


Prime Day : nouveaux prix record sur les MacBook Air et Mac mini M4

11/07/2025 à 20:51

• 5


La Chine s'attaque aux batteries externes de mauvaise qualité, ce qui cause des remous chez les fabricants

11/07/2025 à 20:48

• 36


L’abonnement Google AI Ultra disponible en France pour 274,99 € par mois

11/07/2025 à 20:30

• 19


Le Mac Pro 2013 devient Vintage, ainsi que d’autres produits Apple

11/07/2025 à 20:00

• 14


Aura Aspen : un nouveau cadre photo numérique qui ressemble plus à un cadre traditionnel

11/07/2025 à 18:00

• 8


Le Royaume-Uni et la France investissent dans Eutelsat pour contrer Starlink

11/07/2025 à 17:35

• 112


Prime Day : les meilleurs écrans 4K, portables et ultralarges

11/07/2025 à 15:02

• 1


Prime Day : les derniers bons plans pour équiper sa maison en domotique

11/07/2025 à 15:01

• 14


Test du SSD externe Crucial X10, qui peut atteindre 8 To

11/07/2025 à 13:00

• 0


Prime Day : les meilleurs SSD externes en promotion, de 1 à 8 To !

11/07/2025 à 11:14

• 11