Des failles de sécurité majeures au coeur d'OS X et iOS

Florian Innocente |

Six universitaires ont détaillé des failles de sécurité de grande ampleur dans iOS et OS X, avec comme conséquences d'exposer le contenu du Trousseau d'accès de ces systèmes, de contourner les contrôles de sécurité lors des validations de logiciels sur l'App Store et de faire fi du sandboxing des applications pour fouiner dans leurs contenus et y récupérer des données [pdf].

Le document liste toute une série de titres de premier plan qui sont touchés par ces faiblesses du système : Evernote, Wunderlist, LastPass, Dropbox, Pocket, Dashlane, 1Password, le Creative Cloud, Mail, Chrome, Safari et bien d'autres.

Pour tester ses découvertes, l'équipe a mis au point des malwares qui ont été soumis sur le Mac App Store et l'App Store et validés sans problème. Ces outils sont d'abord capables de voler des mots de passe stockés par les applications dans le trousseau d'accès d'iOS et OS X.

Cliquer pour agrandir

Baptisé XARA (pour Cross-app Ressource Access Attacks) cet exploit, apte à différentes manoeuvres, est décrit comme particulièrement compliqué à bloquer. Les chercheurs ont contacté Apple en octobre dernier puis encore en novembre et, reconnaissant la gravité du problème, les responsables de l'équipe sécurité de la Pomme leur ont demandé de retarder la publication de leurs travaux. Ils ont expliqué qu'il leur faudrait six mois pour revoir le mécanisme de sécurité des deux OS.

Depuis, les chercheurs n'ont pas eu de nouvelles. Ils ont inspecté le fonctionnement de Yosemite 10.10.3 et de la bêta du 10.10.4 pour y constater des prémices de changements destinés à protéger au minimum l'accès à iCloud mais des efforts de nature insuffisante selon eux. Il n'est pas fait mention en revanche d'OS X El Capitan, il est possible qu'Apple ait davantage travaillé sur cet OS.

Le premier problème est le cas de l'IPC interception, il est illustré dans cette démonstration par l'extension 1Password pour les navigateurs. Celle-ci communique avec 1Password mini par le protocole WebSocket. C'est par ce biais qu'ils s'échangent les identifiants de sites web dont a besoin l'utilisateur. Le malware mis au point par cette équipe créé un serveur WebSocket qui prend la main sur le port de communication 6263 avant que l'application 1Password ne puisse le faire. Dès lors, il peut dialoguer à sa place avec l'extension du navigateur et il se trouve aux premières places pour récupérer les identifiants de l'utilisateur. Il n'a pas accès à tout ce qui était déjà enregistré dans 1Password mais aux échanges qu'il est devenu en position d'intercepter (lire aussi Pas de solution magique pour 1Password et la dernière faille d'OS X).

Ensuite il y a le vol de mots de passe dans le Trousseau d'accès d'OS X. Un enregistrement de mot de passe dans le Trousseau ne peut être lu que par l'application qui l'a créé en premier lieu, sauf exceptions. Un programme malveillant peut anticiper l'installation de cette application et créer une entrée en attendant que le logiciel, une fois lancé, aille la compléter. De même, si l'application est déjà installée, le malware peut supprimer son enregistrement dans le Trousseau pour mettre le sien à la place. L'utilisateur sera alors sollicité par son application pour ressaisir son mot de passe, mais l'origine de la demande — une application légitime — a de bonnes chances de ne pas éveiller ses soupçons.

Interrogée par The Register qui révèle l'affaire, l'équipe sécurité de Chromium a expliqué qu'elle allait retirer l'accès au Trousseau dans Chrome car elle ne peut rien faire de plus au niveau de son application. Un constat dressé à l'identique par l'éditeur de 1Password.

Un troisième problème réside dans la capacité d'un malware à obtenir les droits d'accès à des sous-dossiers appartenant à une autre application et supposés protégés de toute intrusion par le sandboxing. Si l'application y stocke des données personnelles (contacts, photos, mots de passe, textes…), elles sont alors récupérables par l'intrus.

Enfin, les chercheurs ont réussi à intercepter un échange réalisé par le bias d'une URL. Par exemple, une URL commençant par wunderlist:// va ouvrir le gestionnaire du même nom dans OS X et lui transmettre différents paramètres. Dans le cas présent, il a été possible pour le malware de prendre le contrôle de cette forme d'URL et de récupérer les identifiants Google utilisé pour se logger dans Wunderlist.

L'équipe à l'origine de ces découvertes a mis en ligne 3 vidéos qui montrent le vol de tokens iCloud dans le Trousseau d'accès d'OS X ; une seconde où une application sandboxée peut lire et écrire dans les répertoires sandboxés d'une autre application (ce seront des notes dans Evernote, des contacts ou des images échangées dans un logiciel de chat) et enfin la subtilisation des mots de passe de sites web enregistrés par Chrome dans le trousseau.


avatar Oracle | 

Ca fait mal... Va falloir remettre un ordi dans un coin qui ne sert qu'à accéder à internet, et avoir son ordi de tous les jours sans aucun contact réseau

avatar demop | 

@Oracle :
C'est bien mon petit mouton, tu gobes bien

avatar Foxyflying | 

Je te trouve bien hautain dans ta réponse. La sécurité est un enjeu important, ne t'en déplaise.

avatar Average Joe | 

La sécurité est en effet un enjeu important, mais il s'agit ici de seulement 6 universitaires sur Terre capables de cela. Faut donc relativiser : OS X n'est toujours pas Windows 95 et ses virus par zillions. Ce genre de news, on en a chaque mois. j'utilise OS X depuis 2007 et celui qui mettra le souk de l'extérieur dans mes deux Mac, il n'est pas né. Je parle d'expérience, donc.

avatar bibi81 | 

La sécurité est en effet un enjeu important, mais il s'agit ici de seulement 6 universitaires sur Terre capables de cela.

Seulement 6 personnes qui communiquent, il ne faut pas confondre, il y a bien plus de personnes capable de faire ça, c'est d'ailleurs pour cela que ces 6 personnes communiquent leur(s) trouvaille(s) (pour éviter que les autres n'exploitent en silence)...

avatar Azurea | 

- "OS X n'est toujours pas Windows 95" -

N'importe quoi comme comparaison avec Windows 95 qui n'est plus utilisé nulle part et pourquoi pas MS-DOS dans la foulée !

Et, n'en déplaise, il n'y a pas que Windows qui est touché !

C'est la réaction d'Apple qui est le vrai Virus (nom : lenteur_extrême001_de_réaction).

avatar oomu | 

"lenteur_extrême001_de_réaction"

ce virus est effectivement ZE maladie d'Apple.

Apple, qui se considère et se gère encore comme une "startup".

avatar Ali Ibn Bachir Le Gros | 

@Foxyflying : sa réponse est peut-être hautaine, mais elle est à la hauteur de l'affront fait à la multinationale. Lorsque la multinationale est attaquée, chaqu'un de nous à le devoir de la défendre et d'écraser les ennemis de la multinationale, en utilisant le dénigrement et le ridicule comme arme.

Tous ces haters, tous ces traitres, les chercheurs évoqués dans cet article en premier, doivent être mis à mort. Pour la plus grande gloire de la multinationale !

avatar GuigsFR | 

Malheureusement il a surement raison, on a des gros problèmes de sécurité mais je pense au fond que c'est déjà trop tard, du moins au niveau des données personnelles et privées. Ce commentaire est vraiment inutile au passage...

avatar Lestat1886 | 

Il y aura toujours des failles dans tous les systèmes de toute façon! A Apple et aux autres constructeurs /éditeurs de réagir vite! Ces failles devraient être prise au sérieux par l'industrie et pourquoi pas creer une sorte de fondation commune pour lutter plus efficacement contre toutes ces failles... Bon je crois que je rêve la

avatar RyDroid | 

La Linux Foundation a organisé un programme pour la sécurité des logiciels fonctionnant avec le noyau Linux suite aux problèmes de OpenSSL.

avatar demop | 

Vous avez oublié de dire "et en plus il y a beaucoup de monde qui s'est fait pirater par ce moyen" comme ça la paranoïa aurait été à son comble.

avatar Oracle | 

@PINOCU :
C'est comme les films Pixar, c'est à plusieurs niveaux de lecture. Ce qui n'échappe "généralement" pas aux adultes.

avatar bompi | 

Du beau travail. Je suis toujours admiratif des gens suffisamment astucieux pour trouver les failles dans les systèmes.

D'un autre côté, on peut aussi trouver les résultats un peu inquiétants... :-)

Je me demande si, à la NSA ou quelqu'autre officine du même genre, on avait déniché la faille (auquel cas, "on" ne doit pas être content !)

avatar Silverscreen | 

Espérons que ça fera l'effet d'un electrochoc et qu'Apple mettra enfin plus de ressources pour la sécurisation de ses services et de réactivité à combler les failles… Là, on a quand même l'impression qu'on se heurte à un problème de culture corporate…

avatar oomu | 

Un électrochoc aussi violent que lors de la grave faille de sécurité SSL "goto fail"

c'est à dire aucun.

-
Apple a ses ressources et son travail sur les fondations de iOS et Os X est constant. Mais l'entreprise ne voit pas d'urgence à chambouler l'utilisateur lors de patch nécessaire à installer.

Par moment, elle attend tranquillement d'avoir une bonne grosse mise à jour pour mettre dedans le patch. c'est PAS SUFFISANT !

-
Autre exemple: le problème de réécriture du Firmware après qu'un mac sorte de mise en veille.

Pour l'heure, c'est un problème réel (pour les gens dont le travail est visé par des voleurs) mais Apple ne propose pas de solution ni communique.

-
Il faudra bien qu'Apple fasse violence à ses propres utilisateurs si elle veut être cohérente avec sa politique de protéger la vie privée des utilisateurs. Sécurité et Vie privée sont liés.

avatar Hideyasu | 

La question est : Quid de la technique sur El Capitan qui est censé renforcer la sécurité.
La je suis curieux d'en savoir plus.

avatar Lonesome Boy | 

S'il suffit de lancer une de ces apps téléchargée sur l'AppleStore pour se voir dérober tous ses mots de passe iCloud, c'est plus que majeur comme faille! C'est gravissime

avatar françois bayrou | 

Ce n'est pas le cas !
Mais un développeur mal intentionné ( un malandrin, pour reprendre la terminologie macg ) peut créer une appli "cheval de troie", un jeu, un client de réseau social quelconque, ... puis la mettre sur le store, pour ensuite récupérer tous les passwords stockés dans le keychain Apple, à commencer par ceux de Apple ( iCloud,... ) et ceux des applis sus-citées si elles sont installées.
A condition de connaître la faille, évidemment.

avatar ScotchE | 

C'est plus compliqué que cela. Car le mécanisme ne permet pas d'accéder aux mots de passe déjà enregistrés.

La faille permet "juste" de créer des espaces de stockages vides destinés à d'autres application tout en s'accordant les droits sur ceux-ci.

Le stockage de l'ancien mot de passe est détruit, et seul le nouvel enregistrement de mot de passe sera accessible à l'application en question.

avatar Azurea | 

... Les chercheurs ont contacté Apple en octobre dernier puis encore en novembre ...

Malgré les moyens d'Apple (finances conséquentes, techniciens informatique de haut vol, etc...) il faut toujours qu'ils traînent la patte, qu'ils remettent toujours plus loin et ce n'est pas la première fois que cela arrive.

C'est désobligeant......

avatar Ast2001 | 

Sauf erreur de ma part, c'est la deuxième fois depuis le début du mois que des chercheurs en sécurité décident de publier leur découverte pour obliger Apple à se bouger le c*l. C'est un peu dommage.

avatar BelgoMan | 

Le triste de l'histoire, c'est de constater qu'on a acheté un caca de pigeon au prix d'un caca d' éléphant.

avatar prommix | 

Ahahaha, merci pour cette phrase philosophique.

avatar oomu | 

mais ce n'est pas le cas.

avatar Alberto8 | 

Est-ce qu'il y a un rapport avec secutyd ?

avatar tipoli | 

Non. :)

avatar Giloup92 | 

@Oracle
C'est ce qu'ont fini par faire les entreprises qui travaillent pour La Défense Nationale.

avatar Giloup92 | 

Après LastPass, c'est 1Password dont la sécurité est compromise. Et on vient par ailleurs nous vanter des solutions HomeKit pour gérer notre domicile...

avatar Palfie | 

Non, si tu ne stockes pas ton mot de passe principal de 1Password dans le Trousseau -ce qu'il faut faire-, il ne peut pas être récupéré dans celui-ci...

[Edit] Apparement, je n'avais pas tout compris. Il y a bienun problème avec 1P

avatar oomu | 

homekit c'est sympa, mais il ne faudra pas vous reposer sur un tiers en "cloud" pour administrer toute votre maison.

avatar asseb | 

L'avantage c'est qu'avec ces mots de passe iCloud ca va agrandir les données de fappening... Tout n'est pas si noir.

avatar Hiqosa | 

Le problème est qu'Apple prend en général de haut ces failles de sécurités. Ils n'ont pas vraiment envie de travailler dessus ou mettent de longs mois à combler X failles.

On se demande bien pourquoi ...

avatar Domsware | 

Un élément de réponse : c'est délicat à corriger ?

avatar Apollo11 | 

En regardant les vidéos, ça ne semble pas être un processus automatique pour récupérer les mots de passe. Il faut plusieurs manipulations et aussi entre son mot de passe de session. Donc, pas à la portée d'une attaque à distance. Je me trompe ou quoi?

avatar tipoli | 

Les differents points mis en avant dans le papier sont tous attaquables a distances. Mais ca reste que du pointage laser.
Faut savoir precisement ce que tu cherches a recup.

Le trois quart du papier reste un ramassis de conneries sur fond de dramatisation. Je vois 6 futurs chanteurs d'opera.

avatar Darth Philou (non vérifié) | 

@MacG arrêtez d'employer le mot exploit svp. Une fois ça peut passer mais c'est devenu maintenant une habitude.

Sur le fond je trouve dommage qu'apple ne réagisse pas plus vite. Ceci dit j'imagine aisément que ça ne doit pas être très simple.

Enfin, je trouve douteux le principe de ces chercheurs de rendre public les failles détectées. Puisqu'apple a répondu et qu'ils travaillent dessus, ça n´accélérera pas les choses pour autant et ça met en danger des centaines de millions d'utilisateurs.

avatar bibi81 | 

Apple a demandé d'attendre 6 mois, ils publient au bout de 7 mois, c'est honnête, non ?

avatar Lestat1886 | 

@Darth Philou :
Assez d'accord avec toi. Avec les chercheurs qui facilitent la tache des hackers d'une part et Apple qui tarde à réagir pour une raison obscure, le client est pris en tenaille

avatar mattdaft | 

Un "exploit informatique" ce n'est pas le sens premier du mot "exploit" : https://fr.wikipedia.org/wiki/Exploit_(informatique)

avatar Darth Philou (non vérifié) | 

@mattdaft :
Merci je sais.
Mais c'est un anglicisme. Ce n'est pas français. Et je pense que les journalistes doivent être exempts de tout reproche sur ce plan pour nous lecteurs.

avatar becausebreast | 

@Darth Philou :
C'est ce que je me dis... Bien souvent, ceux sont plutôt les chercheurs qui prennent de haut. Je veux dire, il y a d'autres moyens de faire bouger Apple... En mettant en public de cette manière là, évidemment ça mets en danger beaucoup d'utilisateurs.

avatar Moonwalker | 

Bon. Y'a une faille (même une grosse).

Visiblement, il faut installer une application pour sucer le trousseau. En plus les démos sont sur des versions obsolètes de Yosemite.

On le sait. Donc on n'installe pas n'importe quoi, on fait ses mises à jour, et cela limitera déjà grandement les risques.

Après, ça s'accumule en ce moment les maillons faibles dans OS X…

J'attends avec impatience la réaction d'Apple.

avatar ScotchE | 

En plus l'application ne peut pas lire ce qui est déjà présent dans le trousseau.

Et dans les documents publiés, la méthode de destruction de l'ancien enregistrement par une application n'ayant pas les droits n'est il n'est pas clairement établie. Cela ressemble quand même pas mal à une dramatisation en règle d'une faille certes importante mais pas si critique.

avatar Lestat1886 | 

@Darth Philou :
Assez d'accord avec toi. Avec les chercheurs qui facilitent la tache des hackers d'une part et Apple qui tarde à réagir pour une raison obscure, le client est pris en tenaille

avatar Fanagame | 

Bon quand même la faille du keychain n'est exploitable que sur Mac OS d'après leur document.
Sur OSX pour piquer un mot de passe, il faut soit que le spyware soit installé avant l'application à laquelle on veut piquer un mot de passe, ou alors pour piquer le mot de passe par la suite, le Spyware va d'abord effacer l'entrée du keychain et attendre que l'application légitime remette à jour le keychain avec le mot de passe pour pouvoir le piquer. Donc un utilisateur attentif pourrait se rendre compte qu'un truc louche se trame (ses mots de passe disparaissent souvent du trousseau)
Et de ce que j'ai compris, les applications pourraient être mises à jour pour détecter la supercherie latente.

avatar ce78 | 

Plutôt que de s'occuper de la couleur de l'aluminium du prochain iPhone, Apple ferait mieux de s'occuper des failles béantes qui affectent la sécurité de ses systèmes.

avatar becausebreast | 

@ce78 :
Sauf que la couleur de l'iPhone une fois en boutique... Tu dois être le premier à vouloir l'iPhone qui n'est plus en stock.

avatar scanmb (non vérifié) | 

Désolé , mais en gros comment ça s'attrape ?
Quels sont les symptômes de la maladie ?
J'ai pas bien compris ...

avatar tipoli | 

Il y a quatre points differents dans le papier:
1/ Keychain, une app peut (sandbox ou pas) accéder a un keychain item pour peu qu'elle en connaisse toutes les informations d'identification a l'avance ET qu'elle se soit declarer en temps que proprio. -> Ca veut dire que le malware a pris les devants en s'enregistrant sur un element du keychain intéressant (pass icloud, etc) Si c'etait deja fait, t'es tranquile. Ils disent que tu peux delete un element existant mais disent pas comment -> mito.
2/ Containers "Cracking" <- LOL. Un bug du cote de l'app store permet a des extensions d'app, d'utiliser des bundle id existant. Lorsque la sandbox d'os x voit un bundle id signé par le store, elle lui donne accès au container qui va avec. Par ex, tu créer une app bidon, avec un helper en bundle id com.evernote.evernote et cet app a accès au container d'evernote.
Mais les containers n'ont jamais ete fait pour proteger les donnees de l'app, donc c'est a l'app dev de chiffrer les data dans son container si c'est utile.
3/ IPC Interception. Le truc qui fait chier 1Password. Pour faire fonctionner leur browser extension, ils utilisent une connection réseau local (qui n'est pas secure et pas sensé l'être de base). Un malware peut se substituer a un cote du tuyau ou l'autre et écouter la conversation. C'est pas un bug, c'est au dev de secure sa ligne.
4/ URL Scheme Highjacking. -> "yelp://pouet" qui lance l'app yelp. Meme principe. Sur OS X et iOS c'est premier arriver, premier servi. (en gros) donc un malware peut se register comme répondant au "yelp://" et recup le traffic. Re-au dev de yelp de protéger ce qu'ils envoient la dessus. Pas une faille, ni bug.

En soit les seul vrai problèmes sont:
1/ Le truc du keychain (très chiant a fix)
2/ Le bug d'unicité de l'appstore (qui devrait être rapide)

La sandbox marche comme prévu, juste pas comme eux voudraient.
Vomir sur Apple en 2015, c'est comme le sexe, ca vend.

Pages

CONNEXION UTILISATEUR