Le trousseau de macOS affiche ses mots de passe en clair
macOS High Sierra n’est pas disponible depuis quelques heures qu’une faille de sécurité assez sérieuse est déjà connue. Un chercheur en sécurité qui a travaillé pour la NSA a présenté sur Twitter la preuve que le trousseau d’accès du système n’est pas aussi sécurisé qu’il devrait l'être. Cet utilitaire est chargé de stocker les mots de passe des sites web, les clés de sécurité des réseau Wi-Fi, mais aussi les numéros de vos cartes de paiement.
Autant dire qu’il contient des informations sensibles qui devraient rester chiffrées tant que vous ne voulez pas les utiliser. Pourtant, ce chercheur a déniché une faille qui lui a permis de créer une app capable de diffuser les données en clair. En passant ensuite par le terminal, il peut afficher tous les mots de passe en texte et certainement toutes les données sensibles enregistrées dans le trousseau d’accès de macOS.
Ce qui est particulièrement inquiétant, c’est que cette faille de sécurité est exploitée sans les autorisations root, c'est-à-dire sans avoir à autoriser le programme avec le mot de passe d’un administrateur sur le Mac. keychainStealer, l’app créée pour la démonstration, peut être lancée directement et elle fait son travail dans les limites de sécurité imposées par le sandboxing.
En théorie, une app ne devrait pas avoir accès au trousseau d’accès. Et même si c’était le cas, elle ne devrait pas pouvoir lire les données sans le mot de passe maître, car elles devraient être chiffrées. C’est une faille très sérieuse qui a été dénichée ainsi et Apple va probablement la régler très rapidement.
L’auteur de cette découverte n’a pas publié de code qui permettrait d’exploiter la faille, laissant ainsi à Apple le temps nécessaire pour réagir et la corriger avec une mise à jour. Cela fait quelques années que macOS améliore ses sécurités contre ce genre d’apps malveillantes, mais il est difficile d’éliminer avec certitude toutes les failles de sécurité.
Notons au passage que le système est configuré par défaut pour ne pas lancer des apps comme keychainStealer, qui ne sont pas signées avec un certificat développeur fourni par Apple. Seule la nouvelle version de macOS est a priori touchée, mais puisque le code source n’a pas été fourni, peut-être que les anciennes versions souffrent de la même faille de sécurité.
[MàJ 25/09/2017 22h48] : la faille de sécurité n’est pas spécifique à High Sierra. Inutile de reporter une mise à jour donc, et espérons qu’Apple corrige la faille au plus vite.
Apple. Ce n'est plus ce que c'était !
Pffff :) on va la lire combien de fois celle la ! :)
Apple. Ce n'est plus ce que c'était !
@Ali Ibn Bachir Le Gros
? ??
Ben en fait, si, mais comme personne n'y regardait de trop pres, on s'en rendait pas compte.
Faut pas faire les naifs, Apple est une societe de droit americain, soumis au droit americain et aux textes divers et variés, dont ceux du Partiot act, qui imposent de laisser a l'etat et ses agents des acces aux données gerees par l'OS et le materiel.
Si on regarde deux minutes "la faille" dont il est question, c'est tout sauf une erreur de realisation. Je veux bien qu'il existe des programmeurs incompétents, mais enfin la tout de meme, un acces en clair a des données censées etre chiffrées et meme pas protégées par un droit d'utilisateur de base d'Unix, c'est volontaire, c'est impossible autrement.
Apres, le fait que ce soit exploitable par n'importe qui s'en donne un peu les moyens, ça c'est surement pas volontaire, et le fait que cela ait pu etre "decouvert" par un "officiellement" non-agent d'etat (heuuuu ah si il etait de la NSA.... on dit lanceur d'alerte?)
@areayoko
Mer il et fou
Cet informaticien bienveillant se verra offrir un iPhone X pour sa découverte.
Seulement un iphoneX ? Lol . Ils sont payés énormément pour trouver ce genre de faille.
Effectivement,
mais surtout il faut savoir quelles sont toutes les versions d'OS X impactées ...
Oh pu€&@ ! C’est vraiment VRAIMENT tres TRES grave !!!!!
Je ne laisse pas macOS gérer mes mots de passe pour ça. Je n'avais qu'une confiance modérée dans leur trousseau d'accès. Maintenant, je n'ai plus confiance du tout.
Mon gestionnaire de mots de passe favori risque de le rester.
@Ali Ibn Bachir Le Gros
Jusqu’à ce qu’une faille soit trouvé dans ton logiciel favori. Il y a des failles partout, et plutôt moins chez Apple qu’ailleurs....
"Il y a des failles partout, et plutôt moins chez Apple qu’ailleurs...." : c'est pas faux, enfin si mais on s'en fiche.
http://www.cvedetails.com/top-50-vendor-cvssscore-distribution.php
@rimshot
Le moins qu’ailleurs ... est de trop
Tu veux dire autant qu’ailleurs ?
@ali :
Je n'ai entièrement confiance ni dans l'un ni dans l'autre : je n'y mets que les mots de passe de sites non sensibles.
Pour ma part, j'aimerais un petit utilitaire qui me listerait tous mes mots de passe (en root bien entendu) histoire de ranger ça quelque part.
... quand on est vieux jeu, on aime le papier ;-)
INADMISSIBLE !
Pas spécifique à High Sierra a priori: https://twitter.com/patrickwardle/status/912392633909047296
@ Abelingrand :
Bien vu, j'ai mis à jour l'article. Merci !
Au fait c’est normal qu’APFS ne fait pas gagner de stockage ni que les temps pour afficher la taille d’un dossier ne changent pas?
En plus de safari qui ne coupe pas les vidéos automatiques...
En gros on dirait qu’ils n’ont pas mis les nouveautés, c’est con parce qu’il y en a pas beaucoup de base...
APFS fait gagner de la place essentiellement quand tu copies des fichiers.
Mais je ne pense pas que le système de conversion vers APFS soit assez intelligent pour supprimer les copies déjà en place avant la mise à jour.
De plus, si ton macOS est installé sur un disque dur, tu n'auras pas non plus droit à APFS donc aucun gain de rapidité.
@ fousfous
Entièrement d'accord. Je suis sur un pro 13 pouces de 128Go (SSD) je n'ai rien gagné en place et je ne vois aucune différence dans la vitesse du système
Si, Safari 11 bloque les vidéos : il faut aller dans "Réglages pour ce site web", puis placer la flèche de la souris à droite de "Lecture automatique" pour se voir proposer quel type de blocage on souhaite (par défaut Safari est réglé sur le seul blocage du son).
@fousfous
"En gros on dirait qu’ils n’ont pas mis les nouveautés, c’est con parce qu’il y en a pas beaucoup de base..."
Si si, il y a plein de nouveaux bugs. On ne fait qu'en voir le début. Les forums américains sont tout frétillants déjà.
Cette cadence ridicule d’un OS par an.
Tous les trois ans, c’est très bien...
@machin44
Il n’y a que le nom qui change tout les ans, parce que depuis Yosemite y a pas vraiment eu de nouveaux OS hein.
@fousfous
Faux. Exemple : le Core Audio, qui m’a obligé à downgradé sur Yosemite, sur lequel je suis toujours.
Entre Sierra et High Sierra c’est vrai que c’est la même chose, tout comme passer de HFS+ à APFS...
Dans tous les cas tu vois très bien ce que je veux dire. Je préférai payer un nouvel OS stable tous les trois ans, qu’en avoir un gratuit mais buggé tous les ans.
@machin44
Et en quoi te pose problème core audio?
Personnellement je vois vraiment pas de différence entre les OS que j'installe, c'est la même chose que d'installer une version intermédiaire...
En tout cas j'espère que l'année prochaine on va avoir le droit à un gros bouleversement, au bout de 4 ans c'est le minimum.
@fousfous
Le Core Audio a été complément revu au passage à El Capitan. Ceci étant, le constructeur de la carte son avec laquelle je travaille (Rane), a mis un temps incroyable à adapter ses pilotes.
Y’avait AUCUNES raisons de modifier ce putain de Core Audio.
Je parle de Discoveryd ?
Ces modifications ne sont pas réfléchies, pas mûries, et pas abouties, enfin fousfous n’y voit aucuns problèmes, je me trompe donc probablement.
@machin44
Bah la c'est juste un problème du fabricant de carte audio qui ne s'emmerde pas...
Il ne faut pas rejeter la faute des développeurs sur Apple non plus (c'est d'ailleurs pour ça que je limite le plus possible l'utilisation de logiciel et matériel tier quand il n'y a pas la nécessité).
Personnellement je n'ai jamais compris l'acharnement sur ce gestionnaire de réseau, ça a toujours parfaitement marché chez moi.
@fousfous
"Bah la c'est juste un problème du fabricant de carte audio qui ne s'emmerde pas..."
Dites ça au gars de chez RME ( les interfaces audio les plus stables du marché) et demandez-leur ce qu'ils pensent de l'évolution de Core Audio, et de macOS en général.
N'oubliez pas le "bah", interjection de bon aloi pour signaler que l'on se méprend complètement sur l'ampleur et la nature d'un problème.
@occam
Les « gars » de chez RME fabriquent de superbes interfaces, OK. Mais ils sont d’une incroyable suffisance pour tout ce qui touche au Mac. C’est toujours de la faute d’Apple, même quand leur gestion du Firewire nous faisait s’arracher les cheveux, alors qu’avec Motu, par exemple, ça roulait. Mauvaise foi etc. à longueur de forum.
@ ckermo80Dqy
Les « gars » de chez RME fabriquent de superbes interfaces, OK. Mais ils sont d’une incroyable suffisance [...]
Des français très certainement; des premiers de la classe qui savent toujours mieux que tout le monde et sont toujours prêts à donner des leçons...
@machin44
Non mais fousfous s’immolerait par le feu pour défendre la cause d’Apple. C’est même pas la peine d’essayer de le raisonner. Il est fou fousfous, c’est tout.
???
@Finouche : + 100
Foufous c'est la running joke de ce site... Il doit surement être très jeune mais ça n'excuse pas la mauvaise foi.
@machin44
Rien de nouveau.
Chaque nouvelle version de Core Audio fait regretter la précédente.
Depuis au moins 10.8.
Mavericks, en audio, était pour moi synonyme d'une ligne de terminal. À tel point que j'en ai fait un raccourci, kc, pour :
sudo killall coreaudiod
Yosemite a mitigé certains problèmes, en a crée d'autres.
Et ça continue.
@machin44
Ah bon, le core audio ? Va falloir m’expliquer où sont les problèmes. Yosemite, carrément ! ???
@machin44
Tout à fait d'accord
Rien qu’ça, hé bien bravo! ??
@ Foufous
Tu as bien un SSD? Sinon, pas de APFS par défaut et si le choix est fait, cela n'apportera pas grand avantage.
Oui j’ai bien un SSD et j’ai même vérifié que c’était bien passé sur APFS.
Et sur iOS on l’avais senti niveau place le passage à l’APFS...
Ça prend un accès physique au Mac pour réussir ?
Si oui, c'est grave, mais moins que si ça peut se faire à distance.
Mais je gage que ça doit pouvoir se faire aussi...
La honte!
Avec Apple on va pouvoir attendre, quoi ? 3, 4 mois avec que cela soit corrigé ? ?
@CNNN
8 ans non ? Apple va vite pour les correctifs critiques de sécurité. La faille n’a pas été rendue publique, faut pas s’inquiéter. Apple la connaît désormais et en général la première MàJ d’un nouvel OS est avant un mois.
Et a tous ceux qui disent que c’est une honte, je vous invite à travailler quelque part, mais vous n’aurez surtout pas droit à l’erreur sinon vous vous faites lyncher. Chez Apple c’est des robots qui ne se trompent jamais ? Bande d’idiots il y a une faille de sécurité vous criez tous au scandale...
@quentin :
Si lui a trouvé cette faille, rien ne dit que d'autres n'y sont pas parvenus aussi.
Je ne sais pas si c'est une honte mais c'est grave car la sécurité des données personnelles est l'un des critères principaux qui pousse à choisir Apple.
Personnellement je suis bon pour effacer tout le contenu de mon trousseau et renouveler tous mes mots de passe avec mon autre gestionnaire.
@quentin :
Et le seul a avoir dit que c'est une honte c'est ce crét*% de "en ballade" qui est un troll : il ne faut pas généraliser son cas (comme cet autre idi*% d'anonx ci-dessous).
@quentinf33
Arrête de chougner c'est de bonne guerre hein..
Qu'aurait on dit si le problème avait été sur Windows ? Surtout ici ??
Et c'est pas fini... ?
@quentinf33
Il y a un nombre énorme d exemple ou Apple met des mois même des années avant de corriger une faille
Cette « faille » nécessite d’autoriser un programme sans certificat. Ainsi si l’on ne touche pas la configuration de base de l’OS un message d’avertissement est affiché au moment du lancement d’un programme sans certificat.
Ce qui assure tout de même un degré de protection supplémentaire.
En résumé l’utilisateur prudent n’aura que peu de chance de se faire avec cette faille.
Bon maintenant à Apple de corriger ce soucis.
Pages