Ouvrir le menu principal

MacGeneration

Recherche

Sécurité : même un fichier .txt ouvert dans TextEdit peut représenter une faille

Nicolas Furno

mercredi 07 avril 2021 à 17:40 • 26

macOS

Quand on pense à une faille de sécurité, on n’imagine pas un banal fichier texte avec une extension .txt ni à TextEdit, l’éditeur de texte fourni par Apple dans macOS. Et pourtant, c’est là qu’un chercheur en sécurité a déniché une faille qui aurait permis à un acteur malveillant de récupérer des informations vous concernant, comme l’adresse IP de votre connexion. Il détaille ses recherches sur son blog et cette attaque est intéressante par son fonctionnement original.

Avant toute chose, précisons que la faille de sécurité a été soumise à Apple fin 2019 et corrigée dès le début de l’année 2020. Il n’est pas nécessaire de paniquer, tant que votre Mac est à jour, vous êtes protégé de cette faille et de toutes celles qui pourraient être liées, le constructeur ayant bloqué les points d’accès utilisés par ce chercheur en sécurité. Cela dit, c’est un bon rappel qu’il faut toujours se méfier de fichiers téléchargés de sources inconnues.

Ce fichier texte en apparence innocent envoyait en fait des informations personnelles à un serveur distant (capture Paulos Yibelo).

L’attaque reposait sur le fait que TextEdit n’est pas qu’un éditeur de texte brut. L’app peut aussi gérer du texte enrichi, avec du gras, des couleurs et mêmes des images. Sans être un traitement de texte complet, c’est une app étonnamment complexe qui mériterait d’ailleurs d’être mieux connue. Mais en l’occurrence, sa complexité est la cause de la faille : l’app peut interpréter du HTML, même s’il est enregistré dans un fichier de texte brut.

Par sécurité, TextEdit ne va pas exécuter n’importe quel code HTML, mais Paulos Yibelo a réussi à trouver un moyen de faire un appel distant avec du code HTML invisible pour l’utilisateur. En ouvrant le fichier, seul le texte était visible, mais un appel au serveur était effectué, ce qui permettait de récupérer au minimum l’adresse IP du Mac. Une astuce supplémentaire pouvait permettre de récupérer un fichier en local, ce qui est une attaque nettement plus sérieuse.

Pour couronner le tout, le chercheur en sécurité a noté que macOS gérait les fichiers .txt en toute confiance, sans appliquer les mesures de sécurité qui sont en place pour les autres types de fichiers. Cet excès de confiance lui a permis de trouver un mécanisme pour ouvrir le fichier directement après son téléchargement, à l’insu de l’utilisateur. En combinant ces différentes failles, il avait mis au point une attaque sophistiquée et dangereuse, mais désormais inutile.

Pour preuve, la version de TextEdit fournie avec macOS Big Sur affiche le code HTML, ce qui veut dire qu’il n’est plus interprété par l’app. Le système utilise aussi son mécanisme d’isolement des fichiers téléchargés pour les .txt, si bien qu’ils ne peuvent plus être ouverts à votre insu.

La dernière version de TextEdit ne se fait plus avoir par le code HTML imaginé par le chercheur en sécurité, preuve que cette faille a été comblée par Apple.

Source :

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Prime Day : l’iPhone 16e dès 592 €, un prix record sur Amazon

00:10

• 5


Prime Day : le MacBook Air M4 à moins de 1 000 € et des remises sur les modèles 512 Go

00:04

• 2


Les Antivirus pour Mac en 2025 📍

07/07/2025 à 20:42

• 0


Test du clavier Keychron V10 Max : Alice au pays de Corneille ?

07/07/2025 à 20:30

• 9


macOS Tahoe 26 : la bêta 3 est disponible pour les développeurs

07/07/2025 à 19:41

• 4


Pétanque : une nouvelle app iPhone met fin aux débats autour du cochonnet

07/07/2025 à 16:19

• 41


Creative Cloud : Adobe réduit le nombre de crédits génératifs pour les nouveaux abonnés sur certaines formules

07/07/2025 à 15:42

• 10


Presque 4 ans après sa sortie, Windows 11 est enfin plus utilisé que Windows 10

07/07/2025 à 14:30

• 16


Orange propose ChatGPT Plus à moitié prix pendant 6 mois à ses abonnés

07/07/2025 à 12:31

• 21


ProtectEU : comment l’Union européenne veut affaiblir le chiffrement de bout en bout

07/07/2025 à 11:09

• 64


F1 : la course vers la rentabilité est lancée pour le film d'Apple

07/07/2025 à 10:40

• 32


FolderDrive : et si les SSD ressemblaient aux dossiers de macOS

07/07/2025 à 07:31

• 14


Une carte cadeau Apple de 100 € vous rapporte 10 € sur Amazon

07/07/2025 à 06:50

• 4


Un SMS, un clic… et des données envolées : pourquoi Incogni devient indispensable  📣

06/07/2025 à 10:00

• 0


Aperçu des nouveautés de Raccourcis dans iOS 26 et macOS 26 : Apple intègre (presque) un chatbot

06/07/2025 à 08:00

• 21


Test du Twelve South AirFly Pro 2 : pour s’enfiler en l’air

05/07/2025 à 11:00

• 10