All time Branchez-vous Branche Toi BetterBe Nerds Carrières

Les mots de passe des utilisateurs d’OS X menacés

Par Laurent LaSalle – le dans Actualités
Une vulnérabilité découverte cette semaine sous OS X permet à un pirate «d'aspirer» l'ensemble des mots de passe stockés par l'application Trousseau d'accès.

Alors qu’ils travaillaient sur leur propre logiciel de gestion de mots de passe, MyKi, les programmeurs Antoine Vincent Jebara et Raja Rahbani ont découvert qu’une série de commandes pouvait être assemblée afin de demander à l’application Keychain (ou Trousseau d’accès) de divulguer tous les mots de passe emmagasinés par OS X.

Grâce à une combinaison de commandes précises, des pirates peuvent forcer OS X à révéler tous les mots de passe stockés par le système.

Lorsque soumis à cette routine, le système ne demande aucun mot de passe administrateur, mais requiert tout de même que l’utilisateur autorise l’accès en cliquant sur un bouton. Qu’à cela ne tienne, il est possible de simuler un clic de souris de façon logicielle.

La procédure en soi se déroule en 200 millisecondes. Il ne suffit que de connaître la position exacte du bouton, et le tour est joué. Cependant, en élaborant leur preuve de concept, les programmeurs ont été confrontés à un léger obstacle.

«Le bouton Autoriser s’affiche toujours à 10% de la droite du centre de l’écran, et à 7% vers le bas», a expliqué Jebara au blogue CSO. «On a remarqué que le seul problème qui pouvait affecter l’emplacement du bouton était la taille du Dock, alors nous avons ajouté une commande masquant le Dock pendant 500 ms afin de s’assurer que la simulation du clic se fasse avec succès.»

Une fois que la commande est autorisée, les mots de passe peuvent être transmis au serveur de commandement et de contrôle du pirate, ou stockés localement ailleurs sur l’ordinateur pour être extraits plus tard.

Le code en question peut être encapsulé dans n’importe quel type de fichier. La preuve de concept de Jebara et Rahbani utilise quant à elle une image pour déployer sa routine.

La balle est dans le camp d’Apple

Heureusement, les concepteurs de MyKi n’ont pas divulgué la combinaison de commandes leur permettant d’obtenir les mots de passe à l’insu d’un utilisateur d’OS X. Ils ont néanmoins transmis l’information à Apple, dans l’espoir que l’entreprise corrige la faille aussi vite que possible.

«Nous avons informé [Apple de la situation], parce que nous croyons que c’était la chose à faire, sachant qu’une vulnérabilité de cette ampleur peut avoir des conséquences désastreuses», a ajouté Jebara. «Mais cela ne signifie pas que nous ne serions pas prêts [à rendre le code] public.»

À noter que si l’utilisateur a choisi de stocker ses mots de passe sur iCloud, ceux emmagasinés par tout appareil iOS synchronisé avec le même compte que celui employé par le Mac peuvent également être exposés en employant cette méthode. Toutefois, la faille découverte n’affecte que les ordinateurs sous OS X. Sa présence est confirmée sous Yosemite, mais il y a fort à parier que les systèmes d’exploitation antérieurs se comportent de la même façon.

Comme le souligne le blogue 01Net, une technique très similaire a déjà été découverte il y a quelques jours par les chercheurs en sécurité de Malwarebytes dans un maliciel nommé Genieo.

Les dernières nouvelles

Test du jeu Watch Dogs: Legion – Rébellion connectée

Test du jeu Watch Dogs: Legion – Rébellion connectée

Avant-première – Aperçu du jeu Immortals: Fenyx Rising

Avant-première – Aperçu du jeu Immortals: Fenyx Rising

Test du jeu NHL 21: nouveaux patins, vieilles lames

Test du jeu NHL 21: nouveaux patins, vieilles lames

Plus d'actualités

De l’espace aux créatures miniatures: 8 jeux à surveiller en octobre

De l’espace aux créatures miniatures: 8 jeux à surveiller en octobre

Superhéros et voyages dans le temps: 6 jeux à surveiller en septembre !

Superhéros et voyages dans le temps: 6 jeux à surveiller en septembre !

D’avions aux grenouilles mutantes: 10 jeux à surveiller en août !

D’avions aux grenouilles mutantes: 10 jeux à surveiller en août !

Populaires

5 façons de gagner de l’argent en ligne 

5 façons de gagner de l’argent en ligne 

Comment payer son accès Netflix (vraiment) moins cher

Comment payer son accès Netflix (vraiment) moins cher

DeepNude : vie et mort de l’appli qui déshabillait les femmes

DeepNude : vie et mort de l’appli qui déshabillait les femmes

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .