Des failles de sécurité majeures au coeur d'OS X et iOS
Six universitaires ont détaillé des failles de sécurité de grande ampleur dans iOS et OS X, avec comme conséquences d'exposer le contenu du Trousseau d'accès de ces systèmes, de contourner les contrôles de sécurité lors des validations de logiciels sur l'App Store et de faire fi du sandboxing des applications pour fouiner dans leurs contenus et y récupérer des données [pdf].
Le document liste toute une série de titres de premier plan qui sont touchés par ces faiblesses du système : Evernote, Wunderlist, LastPass, Dropbox, Pocket, Dashlane, 1Password, le Creative Cloud, Mail, Chrome, Safari et bien d'autres.
Pour tester ses découvertes, l'équipe a mis au point des malwares qui ont été soumis sur le Mac App Store et l'App Store et validés sans problème. Ces outils sont d'abord capables de voler des mots de passe stockés par les applications dans le trousseau d'accès d'iOS et OS X.
Baptisé XARA (pour Cross-app Ressource Access Attacks) cet exploit, apte à différentes manoeuvres, est décrit comme particulièrement compliqué à bloquer. Les chercheurs ont contacté Apple en octobre dernier puis encore en novembre et, reconnaissant la gravité du problème, les responsables de l'équipe sécurité de la Pomme leur ont demandé de retarder la publication de leurs travaux. Ils ont expliqué qu'il leur faudrait six mois pour revoir le mécanisme de sécurité des deux OS.
Depuis, les chercheurs n'ont pas eu de nouvelles. Ils ont inspecté le fonctionnement de Yosemite 10.10.3 et de la bêta du 10.10.4 pour y constater des prémices de changements destinés à protéger au minimum l'accès à iCloud mais des efforts de nature insuffisante selon eux. Il n'est pas fait mention en revanche d'OS X El Capitan, il est possible qu'Apple ait davantage travaillé sur cet OS.
Le premier problème est le cas de l'IPC interception, il est illustré dans cette démonstration par l'extension 1Password pour les navigateurs. Celle-ci communique avec 1Password mini par le protocole WebSocket. C'est par ce biais qu'ils s'échangent les identifiants de sites web dont a besoin l'utilisateur. Le malware mis au point par cette équipe créé un serveur WebSocket qui prend la main sur le port de communication 6263 avant que l'application 1Password ne puisse le faire. Dès lors, il peut dialoguer à sa place avec l'extension du navigateur et il se trouve aux premières places pour récupérer les identifiants de l'utilisateur. Il n'a pas accès à tout ce qui était déjà enregistré dans 1Password mais aux échanges qu'il est devenu en position d'intercepter (lire aussi Pas de solution magique pour 1Password et la dernière faille d'OS X).
Ensuite il y a le vol de mots de passe dans le Trousseau d'accès d'OS X. Un enregistrement de mot de passe dans le Trousseau ne peut être lu que par l'application qui l'a créé en premier lieu, sauf exceptions. Un programme malveillant peut anticiper l'installation de cette application et créer une entrée en attendant que le logiciel, une fois lancé, aille la compléter. De même, si l'application est déjà installée, le malware peut supprimer son enregistrement dans le Trousseau pour mettre le sien à la place. L'utilisateur sera alors sollicité par son application pour ressaisir son mot de passe, mais l'origine de la demande — une application légitime — a de bonnes chances de ne pas éveiller ses soupçons.
Interrogée par The Register qui révèle l'affaire, l'équipe sécurité de Chromium a expliqué qu'elle allait retirer l'accès au Trousseau dans Chrome car elle ne peut rien faire de plus au niveau de son application. Un constat dressé à l'identique par l'éditeur de 1Password.
Un troisième problème réside dans la capacité d'un malware à obtenir les droits d'accès à des sous-dossiers appartenant à une autre application et supposés protégés de toute intrusion par le sandboxing. Si l'application y stocke des données personnelles (contacts, photos, mots de passe, textes…), elles sont alors récupérables par l'intrus.
Enfin, les chercheurs ont réussi à intercepter un échange réalisé par le bias d'une URL. Par exemple, une URL commençant par wunderlist:// va ouvrir le gestionnaire du même nom dans OS X et lui transmettre différents paramètres. Dans le cas présent, il a été possible pour le malware de prendre le contrôle de cette forme d'URL et de récupérer les identifiants Google utilisé pour se logger dans Wunderlist.
L'équipe à l'origine de ces découvertes a mis en ligne 3 vidéos qui montrent le vol de tokens iCloud dans le Trousseau d'accès d'OS X ; une seconde où une application sandboxée peut lire et écrire dans les répertoires sandboxés d'une autre application (ce seront des notes dans Evernote, des contacts ou des images échangées dans un logiciel de chat) et enfin la subtilisation des mots de passe de sites web enregistrés par Chrome dans le trousseau.
Concernant le 4, dans la mesure où Apple vérifie chaque application avant publication sur le store, l'URL highjacking ne devrait tout simplement pas être possible.
@tipoli :
Merci pour cette lecture que je n'ai pas eu le courage de faire.
C'est dommage que MacG ne l'aie pas faite.
"La France a peur..."
*OS X et iOS,les meilleurs systèmes d'exploitation au monde *
J'en rigole encore ! encore pire que Windows,c'est dire. Comme quoi derrière les discours de Cookie le marketeux,il y a la réalité,et c'est pas bien beau à voir.
Le jour où tu auras autant de virus sur OS X que t'en as sous Windows, tu viendras en reparler. Pour l'instant, on a beau dire, mais le peu de malwares qu'on a vu sur les différents systèmes Mac OS depuis OS 8 au moins, ça ne concerne pas grand monde et ne cause pas grand chose. Il faut quand même les restituer dans leur proportion. Je me rappelle m'être félicité d'être sous Tiger la fois où un site a balancé un spyware. Évidemment, il était fait pour Windows. Résultat : deux dossiers en .exe qui moulinaient dans le vide sont apparus sur le bureau : je n'ai eu qu'à les jeter à la corbeille avant de la vider. Si j'avais été sous XP ou une version antérieure des Fenêtres, toutes mes données auraient été piratées sans qu'à aucun moment j'aie pu m'en apercevoir vu que les deux dossiers se seraient installés tout seuls dans le système, à l'insu de mon plein gré comme disait ce célèbre poète, Richard Virenque. Dois-je te rappeler comment on installe un appli dans OS X ?
"OS X et iOS,les meilleurs systèmes d'exploitation au monde"
J'ai un scoop pour vous. Un information exclusive !!
'meilleur", n'est PAS synonyme de 'parfait' ou 'exempt de défaut'.
Et puis c'est un propos marketing sur une page de présentation produit. Ça ne regarde que vous si vous le croyez sur parole.
@ Ckrm
Oui c'est une faille majeure mais oui, aussi, des utilisateurs de Mac ayant eu un problème de sécurité sont rarissimes... J'en dirais pas tant des utilisateurs de Windows...
Il y a un pas immense entre une étude informatique et l'exploitation d'une faille par des malveillants...
Sans compter qu'on ignore l'agenda réel des chercheurs (se faire un nom, se faire recruter par le secteur privé voire Apple, se faire recruter par l'armée chinoise, monétiser leur étude complète ?) etc.
le probleme d'apple comme microsoft , c'est qu'il faut que ses failles soient publiées pour qu'ils commencent a les combler , ce qui n'est pas normal , ils nous ont bassinés sur la securité renforcée sur iOS 9 mais laissent béant des failles depuis iOS 7
Il y a vraiment des gens qui pensent qu'un OS peut être infaillible ?
Ah ah ah ^^
Aucun OS au monde n'est infaillbile, et d'ailleurs personne ( même Apple ) ne prétend en avoir un. C'est juste que certains sont un peu moins faillibles que d'autres, et c'est toujours bon à prendre.
Ce qui est sûr c'est que demander six mois pour corriger un problème de sécurité quel qu'il soit est inacceptable. Maintenant, nous n'avons que la version des chercheurs, il manque celle de l'autre partie. Il faut également souligner que ces derniers temps Microsoft semble bien plus réactif lorsque des problèmes touchant Windows ou Skype sont détectés. Apple doit redresser la barre au plus vite, une partie de son image est en jeu
6 mois pour la plus grosse compagnie du monde , et toujours rienau final, c'est un peu légér. Ce genre de truc devrait être ultra-prioritaire, même leurs gars du marketing devraient saisir l'importance, sinon il ne pourront pas continuer à vanter OSX/iOS comme plus sécuritaire que Windows.
Je peux me passer de 3000 nouveaux emojis. Ce n'est pas prioritaire.
@fluxus
Apple ne se vante plus côté sécuritaire car ce n est plus vrai depuis un moment.
@Average Joe
Compare les proportions mais celles celles d'installation des os respectifs. Os x ne représente rien comparativement à Windows. Sur le même échantillon il serait intéressant de les comparer.
Gros problème
https://www.youtube.com/watch?v=wqo2V3QnMzs j'ai toujours rêvé de le mettre en commentaire éhéhéh Pour vous les trolls qui pourrissez chacune de mes pages internet favorites <3 SUCE MA PINE !
Le problème ici ce n'est pas la faille mais la perception ....
Primo Apple se sort du milieu pro (Xserv , OSX serveur etc ) et perd lentement en crédibilité au niveau corpo .
Secundo , la pérennité de ses système ( comptabilité de 10.7 à 10.10 par exemple ) , sans parlé de la stabilité et des bugs récurrent
Et sa lenteur à réagir sur des cas grave comme celui-ci ...
Tout ça mis bout à bout c'est rien de bon pour l'image .
Quid de la présence de ce hack dans des applis déjà en place?
La sécurité n'a jamais été le point fort d'Apple, ça ralentit le système...
Il critique Adobe, Oracle... sur la sécurité, et le temps mis pour résoudre les failles, c'est risible.
Quand on lit les déclarations d'Apple sur la sécurité, je cite : "La sécurité et la confidentialité sont au cœur même de la conception de tous nos matériels, logiciels et service… " je me dis qu'on a affaire à une belle brochette de menteurs ou d'incompétents.
En tout cas d'excellents commerciaux.
Ce qui me fait le plus peur, c'est pas tellement qu'OSX ou IOS soit truffés de failles (c'est le cas de tous les OS) mais plutôt que pour le grand public, acheter un Mac = pas de virus
Qui n'a jamais entendu de telles bêtises ? "pas besoin d'un antivirus sur mac il y a pas de virus"
Windows étant utilisé par 95% des utilisateurs, il est normal que les virus y soient plus nombreux, mais au moins Microsoft publie des correctifs... pas comme Apple qui fait la sourde oreille à toutes les alertes et qui se contente de répondre que le virus c'est l'utilisateur.
En attendant il faut effectivement être hyper attentif, et mon maître mot à toujours été de ne pas utiliser de gestionnaire de mot de passe, tant sur Chrome, Apple ou tout le reste...
Ce genre de news m'énerve. Tous les OS ont des failles de sécurité, découvertes ou non, résolues plus ou moins rapidement....
Mais franchement... entre un OS avec des failles de sécurité bouchées en 4h après la découverte mais qui va à côté de ça va choper 400 virus rien qu'avec une recherche Google, ou un OS avec des failles bouchées au bout de 6 mois mais sur lequel on a 1 chance sur un million de se faire "attaquer" ?
Je ne nie pas la risque. Mais plutôt que de publier ce genre de news, vous devriez vous concentrer sur l'ouverture de votre site de VPC de chapeaux en papier d'alu.
Ils sont rigolos les haters, est-ce qu'il faut rappeler le nombre de problémes de sécurité, malwares qu'on choppe facilement (du vécu), virus qu'il est possible de chopper si on ne fait pas gaffe ?
Sur osx, personne n'a de problème de ce genre dans la réalité et toutes les études du monde ne changeront pas cet état de fait...
En fait, toute la question est :
Vaut-il mieux découvrir que son OS est pété de failles majeures, ou ne pas la savoir histoire de ne pas être effrayé ?
cela vaut bien sur pour tous les OS, voir des questions plus générales (finance, politique, famille, ...)
Pages