Le trousseau de macOS affiche ses mots de passe en clair

Nicolas Furno |

macOS High Sierra n’est pas disponible depuis quelques heures qu’une faille de sécurité assez sérieuse est déjà connue. Un chercheur en sécurité qui a travaillé pour la NSA a présenté sur Twitter la preuve que le trousseau d’accès du système n’est pas aussi sécurisé qu’il devrait l'être. Cet utilitaire est chargé de stocker les mots de passe des sites web, les clés de sécurité des réseau Wi-Fi, mais aussi les numéros de vos cartes de paiement.

Autant dire qu’il contient des informations sensibles qui devraient rester chiffrées tant que vous ne voulez pas les utiliser. Pourtant, ce chercheur a déniché une faille qui lui a permis de créer une app capable de diffuser les données en clair. En passant ensuite par le terminal, il peut afficher tous les mots de passe en texte et certainement toutes les données sensibles enregistrées dans le trousseau d’accès de macOS.

Cliquer pour agrandir
Cliquer pour agrandir

Ce qui est particulièrement inquiétant, c’est que cette faille de sécurité est exploitée sans les autorisations root, c'est-à-dire sans avoir à autoriser le programme avec le mot de passe d’un administrateur sur le Mac. keychainStealer, l’app créée pour la démonstration, peut être lancée directement et elle fait son travail dans les limites de sécurité imposées par le sandboxing.

En théorie, une app ne devrait pas avoir accès au trousseau d’accès. Et même si c’était le cas, elle ne devrait pas pouvoir lire les données sans le mot de passe maître, car elles devraient être chiffrées. C’est une faille très sérieuse qui a été dénichée ainsi et Apple va probablement la régler très rapidement.

L’auteur de cette découverte n’a pas publié de code qui permettrait d’exploiter la faille, laissant ainsi à Apple le temps nécessaire pour réagir et la corriger avec une mise à jour. Cela fait quelques années que macOS améliore ses sécurités contre ce genre d’apps malveillantes, mais il est difficile d’éliminer avec certitude toutes les failles de sécurité.

Notons au passage que le système est configuré par défaut pour ne pas lancer des apps comme keychainStealer, qui ne sont pas signées avec un certificat développeur fourni par Apple. Seule la nouvelle version de macOS est a priori touchée, mais puisque le code source n’a pas été fourni, peut-être que les anciennes versions souffrent de la même faille de sécurité.

[MàJ 25/09/2017 22h48] : la faille de sécurité n’est pas spécifique à High Sierra. Inutile de reporter une mise à jour donc, et espérons qu’Apple corrige la faille au plus vite.

avatar Sir Rendal (non vérifié) | 

Apple. Ce n'est plus ce que c'était !

avatar areayoko | 

Pffff :) on va la lire combien de fois celle la ! :)

avatar Ali Ibn Bachir Le Gros | 

Apple. Ce n'est plus ce que c'était !

avatar Darwin04 | 

@Ali Ibn Bachir Le Gros

? ??

avatar C1rc3@0rc | 

Ben en fait, si, mais comme personne n'y regardait de trop pres, on s'en rendait pas compte.

Faut pas faire les naifs, Apple est une societe de droit americain, soumis au droit americain et aux textes divers et variés, dont ceux du Partiot act, qui imposent de laisser a l'etat et ses agents des acces aux données gerees par l'OS et le materiel.

Si on regarde deux minutes "la faille" dont il est question, c'est tout sauf une erreur de realisation. Je veux bien qu'il existe des programmeurs incompétents, mais enfin la tout de meme, un acces en clair a des données censées etre chiffrées et meme pas protégées par un droit d'utilisateur de base d'Unix, c'est volontaire, c'est impossible autrement.
Apres, le fait que ce soit exploitable par n'importe qui s'en donne un peu les moyens, ça c'est surement pas volontaire, et le fait que cela ait pu etre "decouvert" par un "officiellement" non-agent d'etat (heuuuu ah si il etait de la NSA.... on dit lanceur d'alerte?)

avatar Hasgarn | 

@areayoko

Mer il et fou

avatar mssinkro | 

Cet informaticien bienveillant se verra offrir un iPhone X pour sa découverte.

avatar IphoneX | 

Seulement un iphoneX ? Lol . Ils sont payés énormément pour trouver ce genre de faille.

avatar melaure | 

Effectivement,

mais surtout il faut savoir quelles sont toutes les versions d'OS X impactées ...

avatar RedMak | 

Oh pu€&@ ! C’est vraiment VRAIMENT tres TRES grave !!!!!

avatar Ali Ibn Bachir Le Gros | 

Je ne laisse pas macOS gérer mes mots de passe pour ça. Je n'avais qu'une confiance modérée dans leur trousseau d'accès. Maintenant, je n'ai plus confiance du tout.

Mon gestionnaire de mots de passe favori risque de le rester.

avatar rimshot | 

@Ali Ibn Bachir Le Gros

Jusqu’à ce qu’une faille soit trouvé dans ton logiciel favori. Il y a des failles partout, et plutôt moins chez Apple qu’ailleurs....

avatar lmouillart | 

"Il y a des failles partout, et plutôt moins chez Apple qu’ailleurs...." : c'est pas faux, enfin si mais on s'en fiche.
http://www.cvedetails.com/top-50-vendor-cvssscore-distribution.php

avatar Ducletho | 

@rimshot

Le moins qu’ailleurs ... est de trop
Tu veux dire autant qu’ailleurs ?

avatar macam | 

@ali :
Je n'ai entièrement confiance ni dans l'un ni dans l'autre : je n'y mets que les mots de passe de sites non sensibles.

avatar NORMAN49 | 

Pour ma part, j'aimerais un petit utilitaire qui me listerait tous mes mots de passe (en root bien entendu) histoire de ranger ça quelque part.
... quand on est vieux jeu, on aime le papier ;-)

avatar supermars | 

INADMISSIBLE !

avatar Abelingrand | 

Pas spécifique à High Sierra a priori: https://twitter.com/patrickwardle/status/912392633909047296

avatar Nicolas Furno | 

@ Abelingrand :

Bien vu, j'ai mis à jour l'article. Merci !

avatar fousfous | 

Au fait c’est normal qu’APFS ne fait pas gagner de stockage ni que les temps pour afficher la taille d’un dossier ne changent pas?
En plus de safari qui ne coupe pas les vidéos automatiques...

En gros on dirait qu’ils n’ont pas mis les nouveautés, c’est con parce qu’il y en a pas beaucoup de base...

avatar ErGo_404 | 

APFS fait gagner de la place essentiellement quand tu copies des fichiers.
Mais je ne pense pas que le système de conversion vers APFS soit assez intelligent pour supprimer les copies déjà en place avant la mise à jour.

De plus, si ton macOS est installé sur un disque dur, tu n'auras pas non plus droit à APFS donc aucun gain de rapidité.

avatar TrollMan06 | 

@ fousfous

Entièrement d'accord. Je suis sur un pro 13 pouces de 128Go (SSD) je n'ai rien gagné en place et je ne vois aucune différence dans la vitesse du système

avatar macam | 

Si, Safari 11 bloque les vidéos : il faut aller dans "Réglages pour ce site web", puis placer la flèche de la souris à droite de "Lecture automatique" pour se voir proposer quel type de blocage on souhaite (par défaut Safari est réglé sur le seul blocage du son).

avatar fte | 

@fousfous

"En gros on dirait qu’ils n’ont pas mis les nouveautés, c’est con parce qu’il y en a pas beaucoup de base..."

Si si, il y a plein de nouveaux bugs. On ne fait qu'en voir le début. Les forums américains sont tout frétillants déjà.

avatar machin44 | 

Cette cadence ridicule d’un OS par an.
Tous les trois ans, c’est très bien...

avatar fousfous | 

@machin44

Il n’y a que le nom qui change tout les ans, parce que depuis Yosemite y a pas vraiment eu de nouveaux OS hein.

avatar machin44 | 

@fousfous

Faux. Exemple : le Core Audio, qui m’a obligé à downgradé sur Yosemite, sur lequel je suis toujours.
Entre Sierra et High Sierra c’est vrai que c’est la même chose, tout comme passer de HFS+ à APFS...
Dans tous les cas tu vois très bien ce que je veux dire. Je préférai payer un nouvel OS stable tous les trois ans, qu’en avoir un gratuit mais buggé tous les ans.

avatar fousfous | 

@machin44

Et en quoi te pose problème core audio?
Personnellement je vois vraiment pas de différence entre les OS que j'installe, c'est la même chose que d'installer une version intermédiaire...
En tout cas j'espère que l'année prochaine on va avoir le droit à un gros bouleversement, au bout de 4 ans c'est le minimum.

avatar machin44 | 

@fousfous

Le Core Audio a été complément revu au passage à El Capitan. Ceci étant, le constructeur de la carte son avec laquelle je travaille (Rane), a mis un temps incroyable à adapter ses pilotes.
Y’avait AUCUNES raisons de modifier ce putain de Core Audio.
Je parle de Discoveryd ?
Ces modifications ne sont pas réfléchies, pas mûries, et pas abouties, enfin fousfous n’y voit aucuns problèmes, je me trompe donc probablement.

avatar fousfous | 

@machin44

Bah la c'est juste un problème du fabricant de carte audio qui ne s'emmerde pas...
Il ne faut pas rejeter la faute des développeurs sur Apple non plus (c'est d'ailleurs pour ça que je limite le plus possible l'utilisation de logiciel et matériel tier quand il n'y a pas la nécessité).
Personnellement je n'ai jamais compris l'acharnement sur ce gestionnaire de réseau, ça a toujours parfaitement marché chez moi.

avatar occam | 

@fousfous

"Bah la c'est juste un problème du fabricant de carte audio qui ne s'emmerde pas..."

Dites ça au gars de chez RME ( les interfaces audio les plus stables du marché) et demandez-leur ce qu'ils pensent de l'évolution de Core Audio, et de macOS en général.

N'oubliez pas le "bah", interjection de bon aloi pour signaler que l'on se méprend complètement sur l'ampleur et la nature d'un problème.

avatar ckermo80Dqy | 

@occam

Les « gars » de chez RME fabriquent de superbes interfaces, OK. Mais ils sont d’une incroyable suffisance pour tout ce qui touche au Mac. C’est toujours de la faute d’Apple, même quand leur gestion du Firewire nous faisait s’arracher les cheveux, alors qu’avec Motu, par exemple, ça roulait. Mauvaise foi etc. à longueur de forum.

avatar marc_os | 

@ ckermo80Dqy
Les « gars » de chez RME fabriquent de superbes interfaces, OK. Mais ils sont d’une incroyable suffisance [...]
Des français très certainement; des premiers de la classe qui savent toujours mieux que tout le monde et sont toujours prêts à donner des leçons...

avatar Finouche | 

@machin44

Non mais fousfous s’immolerait par le feu pour défendre la cause d’Apple. C’est même pas la peine d’essayer de le raisonner. Il est fou fousfous, c’est tout.
???

avatar vrts | 

@Finouche : + 100
Foufous c'est la running joke de ce site... Il doit surement être très jeune mais ça n'excuse pas la mauvaise foi.

avatar occam | 

@machin44

Rien de nouveau.
Chaque nouvelle version de Core Audio fait regretter la précédente.
Depuis au moins 10.8.
Mavericks, en audio, était pour moi synonyme d'une ligne de terminal. À tel point que j'en ai fait un raccourci, kc, pour :
sudo killall coreaudiod

Yosemite a mitigé certains problèmes, en a crée d'autres.
Et ça continue.

avatar ckermo80Dqy | 

@machin44

Ah bon, le core audio ? Va falloir m’expliquer où sont les problèmes. Yosemite, carrément ! ???

avatar deltiox | 

@machin44

Tout à fait d'accord

avatar e2x | 

Rien qu’ça, hé bien bravo! ??

avatar Avenger | 

@ Foufous

Tu as bien un SSD? Sinon, pas de APFS par défaut et si le choix est fait, cela n'apportera pas grand avantage.

avatar fousfous | 

Oui j’ai bien un SSD et j’ai même vérifié que c’était bien passé sur APFS.
Et sur iOS on l’avais senti niveau place le passage à l’APFS...

avatar Apollo11 | 

Ça prend un accès physique au Mac pour réussir ?

Si oui, c'est grave, mais moins que si ça peut se faire à distance.

Mais je gage que ça doit pouvoir se faire aussi...

avatar en ballade | 

La honte!

avatar CNNN | 

Avec Apple on va pouvoir attendre, quoi ? 3, 4 mois avec que cela soit corrigé ? ?

avatar quentinf33 (non vérifié) | 

@CNNN

8 ans non ? Apple va vite pour les correctifs critiques de sécurité. La faille n’a pas été rendue publique, faut pas s’inquiéter. Apple la connaît désormais et en général la première MàJ d’un nouvel OS est avant un mois.

Et a tous ceux qui disent que c’est une honte, je vous invite à travailler quelque part, mais vous n’aurez surtout pas droit à l’erreur sinon vous vous faites lyncher. Chez Apple c’est des robots qui ne se trompent jamais ? Bande d’idiots il y a une faille de sécurité vous criez tous au scandale...

avatar macam | 

@quentin :
Si lui a trouvé cette faille, rien ne dit que d'autres n'y sont pas parvenus aussi.
Je ne sais pas si c'est une honte mais c'est grave car la sécurité des données personnelles est l'un des critères principaux qui pousse à choisir Apple.
Personnellement je suis bon pour effacer tout le contenu de mon trousseau et renouveler tous mes mots de passe avec mon autre gestionnaire.

avatar macam | 

@quentin :
Et le seul a avoir dit que c'est une honte c'est ce crét*% de "en ballade" qui est un troll : il ne faut pas généraliser son cas (comme cet autre idi*% d'anonx ci-dessous).

avatar anonx | 

@quentinf33

Arrête de chougner c'est de bonne guerre hein..

Qu'aurait on dit si le problème avait été sur Windows ? Surtout ici ??

Et c'est pas fini... ?

avatar CNNN | 

@quentinf33

Il y a un nombre énorme d exemple ou Apple met des mois même des années avant de corriger une faille

avatar Domsware | 

Cette « faille » nécessite d’autoriser un programme sans certificat. Ainsi si l’on ne touche pas la configuration de base de l’OS un message d’avertissement est affiché au moment du lancement d’un programme sans certificat.

Ce qui assure tout de même un degré de protection supplémentaire.

En résumé l’utilisateur prudent n’aura que peu de chance de se faire avec cette faille.

Bon maintenant à Apple de corriger ce soucis.

Pages

CONNEXION UTILISATEUR