Ouvrir le menu principal

MacGeneration

Recherche

Le trousseau de macOS affiche ses mots de passe en clair

Nicolas Furno

lundi 25 septembre 2017 à 22:30 • 65

macOS

macOS High Sierra n’est pas disponible depuis quelques heures qu’une faille de sécurité assez sérieuse est déjà connue. Un chercheur en sécurité qui a travaillé pour la NSA a présenté sur Twitter la preuve que le trousseau d’accès du système n’est pas aussi sécurisé qu’il devrait l'être. Cet utilitaire est chargé de stocker les mots de passe des sites web, les clés de sécurité des réseau Wi-Fi, mais aussi les numéros de vos cartes de paiement.

Autant dire qu’il contient des informations sensibles qui devraient rester chiffrées tant que vous ne voulez pas les utiliser. Pourtant, ce chercheur a déniché une faille qui lui a permis de créer une app capable de diffuser les données en clair. En passant ensuite par le terminal, il peut afficher tous les mots de passe en texte et certainement toutes les données sensibles enregistrées dans le trousseau d’accès de macOS.

Cliquer pour agrandir
Cliquer pour agrandir

Ce qui est particulièrement inquiétant, c’est que cette faille de sécurité est exploitée sans les autorisations root, c'est-à-dire sans avoir à autoriser le programme avec le mot de passe d’un administrateur sur le Mac. keychainStealer, l’app créée pour la démonstration, peut être lancée directement et elle fait son travail dans les limites de sécurité imposées par le sandboxing.

En théorie, une app ne devrait pas avoir accès au trousseau d’accès. Et même si c’était le cas, elle ne devrait pas pouvoir lire les données sans le mot de passe maître, car elles devraient être chiffrées. C’est une faille très sérieuse qui a été dénichée ainsi et Apple va probablement la régler très rapidement.

L’auteur de cette découverte n’a pas publié de code qui permettrait d’exploiter la faille, laissant ainsi à Apple le temps nécessaire pour réagir et la corriger avec une mise à jour. Cela fait quelques années que macOS améliore ses sécurités contre ce genre d’apps malveillantes, mais il est difficile d’éliminer avec certitude toutes les failles de sécurité.

Notons au passage que le système est configuré par défaut pour ne pas lancer des apps comme keychainStealer, qui ne sont pas signées avec un certificat développeur fourni par Apple. Seule la nouvelle version de macOS est a priori touchée, mais puisque le code source n’a pas été fourni, peut-être que les anciennes versions souffrent de la même faille de sécurité.

[MàJ 25/09/2017 22h48] : la faille de sécurité n’est pas spécifique à High Sierra. Inutile de reporter une mise à jour donc, et espérons qu’Apple corrige la faille au plus vite.

Source : Mac Rumors

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Promo : forfait 5G 80 Go à 6,99 € par mois !

Partenaire


Tim Cook envoie ses félicitations à Donald Trump pour son nouveau mandat

06/11/2024 à 22:00

• 17


Plus de 1 000 soutiens pour notre campagne de sociofinancement, et si on allait jusqu’à 100 000 € ?

06/11/2024 à 20:40

• 52


Sherlocking des apps : jusqu'où peut aller Apple avant d'aller trop loin ?

06/11/2024 à 20:30

• 10


macOS 15.2 Public beta disponible pour tous

06/11/2024 à 20:15

• 2


Apple devrait vraiment prendre en charge le MTP en USB, qui est (encore) cassé avec la Nintendo Switch

06/11/2024 à 18:50

• 6


Retroactive ne portera pas Aperture ni iTunes sur macOS Sequoia

06/11/2024 à 18:00

• 14


Magic Mouse ou Magic Trackpad assorti à l’iMac M4, il faut choisir

06/11/2024 à 15:45

• 34


iPhone 16 Pro : pour 568 $ de composants, 6 % de plus que pour l’iPhone 15 Pro

06/11/2024 à 14:08


IA : Apple voudrait l’expertise de Foxconn pour son infrastructure serveur

06/11/2024 à 11:45

• 43


Microsoft Office pour Mac est à prix cassé chez Godeal24 ! 📍

06/11/2024 à 09:33


L'écran des Raspberry Pi passe au 720p, c'est le futur

06/11/2024 à 09:00

• 11


Refurb : jusqu'à -370 € sur l'Apple Studio Display 5K avec pied ou VESA 🆕

06/11/2024 à 06:57

• 35


Nouvelle vague de licenciement chez Mozilla, qui remercie 30 % de son personnel

05/11/2024 à 22:00

• 44


Intel pourrait (encore) abandonner ses cartes graphiques

05/11/2024 à 21:30

• 19


Apple prévient les investisseurs que ses futurs produits pourraient ne pas être aussi rentables que l'iPhone

05/11/2024 à 21:00

• 52