Un chercheur allemand en sécurité, Linus Henze, a publié une vidéo montrant comment une application de son cru permet de pirater le Trousseau local de macOS, la version iCloud étant épargnée (en tout cas pour l’instant).
Henze, qui cherchait à attirer l’attention d’Apple – qui ne propose aucun programme bug bounty pour macOS – montre l’efficacité de son « KeySteal », sans fournir les détails techniques.
Deux précisions importantes quand même : l’application n’a pas besoin des droits administrateurs pour remplir sa mission et ne tient pas compte des éventuelles ACL (Access Control List). Elle peut donc extraire les informations locales sans requérir d’action utilisateur, rendant l’exploitation particulièrement dangereuse.
Selon le chercheur, l’utilisateur peut se rendre dans l’application Trousseau pour paramétrer un mot de passe supplémentaire d’accès. Problème, le Trousseau étant régulièrement utilisé, cela signifie une saisie très régulière dudit mot de passe. Une gêne à affronter jusqu’à la publication du correctif.
Pour l'instant, on ne sait pas si Apple est réellement au courant du problème. La firme n'a pas encore réagi.
Commentaires (12)
#1
La NSA (ou les Chinois) vont lui acheter sa faille d’un montant suffisant pour lui interdire de la fournir à Apple
" />
#2
En même temps le chercheur en question est un jeune de 18 ans qui refuse de fournir a Apple les informations nécessaires. Selon lui, Apple n’a pas de programme de bug bounty et il essaie de faire pression sur eux pour lancer un.
#3
#4
Perso, qu’un programme lancé par l’utilisateur puisse lire ses mots de passe, ça n’est pas vraiment une faille.
Je ne connais pas les specifications du Trousseau, mais si l’on veut utiliser les infos qui y sont stockées, il est assez logique d’y avoir accès.
#5
Le problème ici (si j’ai bien compris), c’est qu’une interaction pour visualiser les mots de passe par le Trousseau demande un mot de passe, alors qu’ici avec son exploit, le mot de passe n’est pas nécessaire.
Donc il y a un problème dans l’implémentation de la sécurité, et que le mot de passe global demandé par macOS ne sert à rien.
#6
#7
#8
Non, autant l’article de NXI que celui en lien (traduit par googletrad, mon allemand est trop mauvais pour comprendre) indique que l’on peut protéger le trousseau par mot de passe mais ce n’est pas par défaut. L’article en lien indique que par défaut, le fait de se connecter permet justement d’accéder au trousseau.
#9
#10
Celui que tu cites a fait une affirmation incomplète, il a oublié d’ajouter “pour macOS” (ce qui est dit dans l’article).
Ce que tu mets en lien s’appuie sur motherboard qui ne parle que de l’iPhone.
#11
Sur le sujet, ça aurait mérité une brève:
https://www.minimachines.net/actu/nest-secure-75835
#12
Un trousseau, deux trous sales.
© Coluche