macOS : une faille permet d’accéder à des mots de passe du Trousseau
Le 07 février 2019 à 09h37
1 min
Logiciel
Logiciel
Un chercheur allemand en sécurité, Linus Henze, a publié une vidéo montrant comment une application de son cru permet de pirater le Trousseau local de macOS, la version iCloud étant épargnée (en tout cas pour l’instant).
Henze, qui cherchait à attirer l’attention d’Apple – qui ne propose aucun programme bug bounty pour macOS – montre l’efficacité de son « KeySteal », sans fournir les détails techniques.
Deux précisions importantes quand même : l’application n’a pas besoin des droits administrateurs pour remplir sa mission et ne tient pas compte des éventuelles ACL (Access Control List). Elle peut donc extraire les informations locales sans requérir d’action utilisateur, rendant l’exploitation particulièrement dangereuse.
Selon le chercheur, l’utilisateur peut se rendre dans l’application Trousseau pour paramétrer un mot de passe supplémentaire d’accès. Problème, le Trousseau étant régulièrement utilisé, cela signifie une saisie très régulière dudit mot de passe. Une gêne à affronter jusqu’à la publication du correctif.
Pour l'instant, on ne sait pas si Apple est réellement au courant du problème. La firme n'a pas encore réagi.
Le 07 février 2019 à 09h37
Commentaires (12)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 07/02/2019 à 12h00
La NSA (ou les Chinois) vont lui acheter sa faille d’un montant suffisant pour lui interdire de la fournir à Apple " />
Le 07/02/2019 à 13h45
En même temps le chercheur en question est un jeune de 18 ans qui refuse de fournir a Apple les informations nécessaires. Selon lui, Apple n’a pas de programme de bug bounty et il essaie de faire pression sur eux pour lancer un.
Le 07/02/2019 à 13h53
Le 07/02/2019 à 14h02
Perso, qu’un programme lancé par l’utilisateur puisse lire ses mots de passe, ça n’est pas vraiment une faille.
Je ne connais pas les specifications du Trousseau, mais si l’on veut utiliser les infos qui y sont stockées, il est assez logique d’y avoir accès.
Le 07/02/2019 à 14h39
Le problème ici (si j’ai bien compris), c’est qu’une interaction pour visualiser les mots de passe par le Trousseau demande un mot de passe, alors qu’ici avec son exploit, le mot de passe n’est pas nécessaire.
Donc il y a un problème dans l’implémentation de la sécurité, et que le mot de passe global demandé par macOS ne sert à rien.
Le 07/02/2019 à 14h55
Le 07/02/2019 à 14h57
Le 07/02/2019 à 15h24
Non, autant l’article de NXI que celui en lien (traduit par googletrad, mon allemand est trop mauvais pour comprendre) indique que l’on peut protéger le trousseau par mot de passe mais ce n’est pas par défaut. L’article en lien indique que par défaut, le fait de se connecter permet justement d’accéder au trousseau.
Le 07/02/2019 à 15h57
Le 07/02/2019 à 16h08
Celui que tu cites a fait une affirmation incomplète, il a oublié d’ajouter “pour macOS” (ce qui est dit dans l’article).
Ce que tu mets en lien s’appuie sur motherboard qui ne parle que de l’iPhone.
Le 08/02/2019 à 07h21
Sur le sujet, ça aurait mérité une brève:
https://www.minimachines.net/actu/nest-secure-75835
Le 08/02/2019 à 13h20
Un trousseau, deux trous sales.
© Coluche