IOHIDeous, le « cadeau » de bonne année d'un hacker à Apple

Stéphane Moussie |

Sur le plan de la sécurité, Apple commence la nouvelle année comme elle a terminé la précédente : mal. Un hacker a dévoilé le 31 décembre, à 23h59, une faille de sécurité 0 day affectant la plupart des versions de macOS.

Baptisée IOHIDeous, elle implique IOHIDFamily, une extension du noyau gérant l’accès aux composants matériels du Mac, et permet à un utilisateur non autorisé de lire et écrire sur le noyau. Siguza résume sa découverte ainsi : « N’importe qui devant le Mac -> système entièrement compromis. »

Enfin, pas vraiment n’importe qui car l’exploitation d’IOHIDeous n’est pas aussi simple que de taper « root » dans un champ de connexion… pour l’instant. La faille étant présentée de manière complète, des malandrins pourraient se servir de ces renseignements pour mettre au point une attaque facile à exécuter.

L’exploit décrit par Siguza fonctionne a priori sur toutes les versions de macOS (il l’a testé sur Sierra et High Sierra), à l’exception de 10.13.2. Le hacker ne sait pas si cette version est immunisée par chance ou si la faille a été dument comblée.

Mais pourquoi n’a-t-il pas averti Apple avant de révéler la faille au grand jour, comme il est de coutume de le faire ? Il déclare que si le bug bounty d’Apple incluait macOS, comprendre que si Apple rétribuait les découvreurs de failles sur Mac, il aurait informé l’équipe de sécurité de Cupertino.

Un discours très similaire à celui de Khaos Tian, un hacker qui, déçu du traitement d’une faille HomeKit qu’il avait signalée à Apple, a révélé publiquement le 24 décembre un problème de sécurité dans Messages.

Siguza se défend toutefois de vouloir (trop) nuire à la sécurité du Mac. Il assure que si IOHIDeous avait été exploitable à distance, il aurait prévenu Apple en premier. Il souligne aussi qu’il n’a pas vendu sa découverte à des organisations plus ou moins obscures alors qu’il aurait pu certainement en tirer un bon prix : « J’ai juste pensé que je pouvais finir 2017 avec un gros coup, parce que pourquoi pas. Si j’avais voulu voir le monde brûler, j’aurais écrit des ransomwares plutôt que des comptes-rendus. »