Le Trousseau d'accès d'OS X n'est pas bien protégé

Stéphane Moussie |

Une technique toute bête permet à une application d'accéder au Trousseau d'accès d'OS X sans la permission de l'utilisateur.

Depuis 2011, le malware DevilRobber utilise un script (réalisé en AppleScript) qui clique à la place de l'utilisateur sur le bouton OK de la boîte de dialogue demandant l'accès au Trousseau, rapporte le chercheur en sécurité noar. Comme le Trousseau n'est pas protégé par un mot de passe maître, le malware a ensuite le champ libre.

Le pourriciel Genieo utilise la même technique pour accéder à la liste des extensions de Safari qui se trouve dans le Trousseau, et installer ainsi une extension baptisée Leperdvil qui affiche de la pub supplémentaire.

Pour que le logiciel malveillant puisse exploiter cette ruse, il faut toutefois qu'il soit déjà installé d'une manière ou d'une autre sur la machine, ce qui limite les risques. Mais les malandrins ne manquent pas d'imagination pour y parvenir, comme profiter d'une application inoffensive pour s'introduire en même temps (lire : µTorrent ne sera plus accompagné de pourriciels).

Par ailleurs, avoir accès au Trousseau ne signifie pas avoir accès à toutes les données qu'il renferme. Les mots de passe qui y sont stockés sont protégés par le mot de passe administrateur. Néanmoins, un développeur a démontré avec la preuve de concept Keychaindump qu'il était possible, en ayant un accès root au Mac, de lire les mots de passe des utilisateurs connectés.


avatar arnaudducouret | 

La news qui tombe parfaitement puisque 1Password est en promo !

avatar C1rc3@0rc | 

1Password ne protege pas de cette "particularite".
On pourrait évidemment renforcer la sécurité en demandant un mot de passe a l'ouverture du trousseau. Ca va faire rouspéter l'utilisateur, mais la securite a un prix.

Il faut noter qu'en fait ce mécanisme suppose que l'on soit dans un compte administrateur, et donc que l'on sache ce que l'on fait en installant un soft...

Donc, il faut absolument disposer d'un seul et unique compte administrateur et d'un ou plusieurs comptes utilisateurs. Et on n'ouvre de session administrateur que pour installer des soft ou faire des mise a jour. Il faut le répéter encore en toujours, la on est pas sur Windows, les droits d'acces sont ceux d'Unix et ils sont solides!

Et surtout on installe que ce dont on a vraiment besoin et qui vient d'une source fiable, et quant on sait pas, on se limite au Mac App Store!

avatar RoboisDesBins (non vérifié) | 

"avec la preuve de concept"
Bonjour la traduction littérale....

avatar DVP | 

C'est comme les "codes de triches" dans le film Pixels.
Un POC c'est un POC... (Proof Of Concept) et un cheat code, un cheat code.

D'ailleurs quelques mots plus loin, l'article parle d'un accès root, et pas d'un accès racine :)

avatar RoboisDesBins (non vérifié) | 

@DVP
En bon français, on parle de preuve de faisabilité

avatar Sostène Cambrut | 

@RoboisDesBins

J'avoue que cette traduction me fait saigner les yeux à chaque fois. Une traduction moins littérale pourrait être "mise à l'épreuve" ou "mise en pratique".

Sinon, il y a quand même beaucoup de conditionnels à la réussite de cette méthode.

avatar C1rc3@0rc | 

Ben c'est meme pas une traduction littérale, qui serait alors plutôt "démonstration de fonctionnement." ou "conception validée".
Dans les fait on est bien face a la démonstration d'une procédure qui montre la réalité d'un concept d'attaque.

Sinon, tu as raison, mais ce qui est embêtant dans le cas present c'est que si l'attaque de base est quand meme pleine de conditions prealables, c'est a la portée d'un scriptkiddy (nommé pamperz dans nos belles contrées)!

avatar lambdachronicles | 

Ha ben c'est bon tout vas bien alors.

avatar 406 | 

j'avais protégé un dossier en changeant les autorisations. en passant par spotlight, j'ai quand même accès à ce qu'il contient...

avatar patrick86 | 

"j'avais protégé un dossier en changeant les autorisations. en passant par spotlight, j'ai quand même accès à ce qu'il contient..."

Parce que vous n'en avez pas interdit l'accès à Spotlight.

avatar thebarty | 

@patrick86 :
Ou parce que Spotlight a un cache...

avatar Androshit | 

Pas besoin d'être un génie pour savoir qu'avec un accès root, on a accès à tous les comptes et tous les trousseaux de tous les utilisateurs : ça sert entre autre à ça...

avatar jackhal | 

Quand tu regardes le GitHub du logiciel, il montre que ça permet de récupérer éventuellement le mot de passe d'un Facebook, Twitter ou GMail, par exemple.
Que l'admin ait accès aux comptes utilisateur de la machine c'est normal, mais pas qu'il puisse récupérer les mots de passe des utilisateurs pour les sites web. Même enregistrés dans le Trousseau d'accès.

avatar broc_058 | 

@jackhal :
Quelle différence ?
Si tu es admin tu peux changer le mot de passe utilisateur.
Par ailleurs, il est nécessaire d avoir le mot de trousseau pour y accéder sur ma machine.
Pour information , un admin peut accéder à tous surtout chez les grands comptes.
J ai l impression que la plupart des exploits ou dites failles sont réalisables grâce à l accès à une machine avec des privilèges de admin.

avatar jackhal | 

la différence c'est que c'est l'admin du Mac et qu'il peut gérer ce que les utilisateurs font dessus.
ce n'est pas l'admin de tous les comptes Internet des utilisateurs et de leur vie numérique.

avatar Y-K | 

Que se passe-t-il si on a créé un mot de passe pour entrer dans le trousseau ?

avatar oomu | 

"Néanmoins, un développeur a démontré avec la preuve de concept Keychaindump qu'il était possible, en ayant un accès root au Mac, de lire les mots de passe des utilisateurs connectés."

ha ça tombe bien que cet accès root ne soit pas si évident à obtenir

et que dans El Capitan il soit carrément impossible à avoir sans faire 3 salto et 4 toupie en mode de récupération.

avatar fredseg | 

Entre les anglicismes et les vils "malandrins" qui flibustent les trousseaux à défaut de "tocantes", macG développe un style une prose à nulle autre pareille.

avatar Milouze | 

Rien n'est assez fleuri pour conter les extravagantes filouteries des canailles de la Toile.

avatar Rikly | 

@fredseg

Votre commentaire est excellent !

avatar broc_058 | 

Je crois aussi que tu peux mettre un mot de passe différent de la session.

avatar Milouze | 

Un classique de la sécurité consite aussi à utiliser un deuxième ordinateur pour crypter le trafic du premier, et d'y melanger virtualisation et contrôle à distance, soit la technique du "Trou d'air".

Plein d'infos intéressantes à ce sujet ici même pour ceux qui comme moi n'en ont pas besoin :

https://www.infokiosques.net/spip.php?article1045

avatar Moonwalker | 

Donc, si on installe un programme qui fait des choses, il fera des choses.

Amha, la faille principale est toujours entre le clavier et la chaise.

avatar Orus | 

Bien sûr. Mais l'utilisateur de base n'est pas au courant de tout cela. Et même le plus pointu des MacManiac peut se faire avoir un jour de fatigue, maladie, lendemain de fêtes.

avatar DarKOrange | 

@Orus :
Sur le Mac de l'utilisateur de base le compte root n'est pas activé...

avatar bugman | 

Veux pas me faire détrousser !

avatar Orus | 

Et pendant ce temps Tim Cook et ses amis s'amusent avec la radio beat et le show bizz qui va avec.
Le nombre de failles devient dramatique. Apple à perdu de vue son cœur de métier.

avatar nicopulse | 

Comment cela est-il possible. J'ai du mal à croire la véracité de cette vidéo.

1) Un JPEG (un PNG, un GIF ??)
2) incluant du code mais où ? metadata, donnés du fichier ?
3) Aillant un accès root avec mon compte utilisateur, suis-je vulnérable quand je navigue avec Safari, chrome, sur des sites infectés ???

Bref, on aimerai des détails pertinents !

avatar ecosmeri | 

Peux ton extraire les données du trousseau pour en faire un excel ou un fichier numbers? Je c'est c'est pas sécuritaire mais bon j'en ai un peu rien a faire l'important c'est que j'ai mes mots de passe quelque part ailleurs que dans iCloud si un jour il plante

avatar ecosmeri | 

@ecosmeri :
"Peux t'on"
" je sais"

avatar AirForceTwo | 

Essaie encore :-)))

avatar patrick86 | 

@ecosmeri :
Les mots de passe enregistrés dans le trousseau d'os x sont stockés en local sur le Mac.

avatar ecosmeri | 

@patrick86 :
Ok donc pris en charge dans la sauvegarde timemachine, en revanche si je souhaite me faire un fichier Numbers ou excel avec mes mots de passe et noms d'utilisateur c'est possible ou pas?

avatar patrick86 | 

@ecosmeri :

A priori non, pas d'export vers un tableur possible.
Je n'ai pas vu d'option du genre dans Trousseau d'accès.

avatar marc_os | 

Tout ça c'est rien face à ce qui se passe sous Android. Suite à la lecture de l'article ici sur la nouvelle montre truc machin avec des photos venant du site Frandroid, j'ai cliqué sur le lien pour voir ce qui s'y passe. Et bien si on n'est pas sous lolipop, un clic sur un lien dans une page web ou un SMS suffit pour installer le malware de la HackTeam !
Trop fort ! Et ce qu'il peut faire, ça fait peur. Il a accès à _tout_ sur le téléphone !

avatar ultrabill | 

@marc_os que ce soit pire sous Android n'est pas une excuse pour laisser des trous de sécurité dans OS X. Il y a une faille dans la gestion du trousseau, elle est potentiellement exploitable, il faut corriger.

Mettre en avant une faille pire chez le voisin ne corrigera pas le problème soulevé ici...

avatar Binette1704 | 

De toute façon avant de recevoir un malware avec un Mac c'est pas demain la veille... En 20 ans d'ordi Mac je n'en ai jamais eu !

CONNEXION UTILISATEUR