All time Branchez-vous Branche Toi BetterBe Nerds Carrières

Les mots de passe des utilisateurs d’OS X menacés

Par Laurent LaSalle – le dans Actualités
Une vulnérabilité découverte cette semaine sous OS X permet à un pirate «d'aspirer» l'ensemble des mots de passe stockés par l'application Trousseau d'accès.

Alors qu’ils travaillaient sur leur propre logiciel de gestion de mots de passe, MyKi, les programmeurs Antoine Vincent Jebara et Raja Rahbani ont découvert qu’une série de commandes pouvait être assemblée afin de demander à l’application Keychain (ou Trousseau d’accès) de divulguer tous les mots de passe emmagasinés par OS X.

Grâce à une combinaison de commandes précises, des pirates peuvent forcer OS X à révéler tous les mots de passe stockés par le système.

Lorsque soumis à cette routine, le système ne demande aucun mot de passe administrateur, mais requiert tout de même que l’utilisateur autorise l’accès en cliquant sur un bouton. Qu’à cela ne tienne, il est possible de simuler un clic de souris de façon logicielle.

La procédure en soi se déroule en 200 millisecondes. Il ne suffit que de connaître la position exacte du bouton, et le tour est joué. Cependant, en élaborant leur preuve de concept, les programmeurs ont été confrontés à un léger obstacle.

«Le bouton Autoriser s’affiche toujours à 10% de la droite du centre de l’écran, et à 7% vers le bas», a expliqué Jebara au blogue CSO. «On a remarqué que le seul problème qui pouvait affecter l’emplacement du bouton était la taille du Dock, alors nous avons ajouté une commande masquant le Dock pendant 500 ms afin de s’assurer que la simulation du clic se fasse avec succès.»

Une fois que la commande est autorisée, les mots de passe peuvent être transmis au serveur de commandement et de contrôle du pirate, ou stockés localement ailleurs sur l’ordinateur pour être extraits plus tard.

Le code en question peut être encapsulé dans n’importe quel type de fichier. La preuve de concept de Jebara et Rahbani utilise quant à elle une image pour déployer sa routine.

La balle est dans le camp d’Apple

Heureusement, les concepteurs de MyKi n’ont pas divulgué la combinaison de commandes leur permettant d’obtenir les mots de passe à l’insu d’un utilisateur d’OS X. Ils ont néanmoins transmis l’information à Apple, dans l’espoir que l’entreprise corrige la faille aussi vite que possible.

«Nous avons informé [Apple de la situation], parce que nous croyons que c’était la chose à faire, sachant qu’une vulnérabilité de cette ampleur peut avoir des conséquences désastreuses», a ajouté Jebara. «Mais cela ne signifie pas que nous ne serions pas prêts [à rendre le code] public.»

À noter que si l’utilisateur a choisi de stocker ses mots de passe sur iCloud, ceux emmagasinés par tout appareil iOS synchronisé avec le même compte que celui employé par le Mac peuvent également être exposés en employant cette méthode. Toutefois, la faille découverte n’affecte que les ordinateurs sous OS X. Sa présence est confirmée sous Yosemite, mais il y a fort à parier que les systèmes d’exploitation antérieurs se comportent de la même façon.

Comme le souligne le blogue 01Net, une technique très similaire a déjà été découverte il y a quelques jours par les chercheurs en sécurité de Malwarebytes dans un maliciel nommé Genieo.

Les dernières nouvelles

Que vaut l’abonnement illimité Kindle ?

Que vaut l’abonnement illimité Kindle ?

Branchez-vous -
Google : un correcteur automatique bientôt intégré à Gmail

Google : un correcteur automatique bientôt intégré à Gmail

Branchez-vous -
iPhone 2020 : Apple fera appel à un fabricant Chinois pour ses écrans

iPhone 2020 : Apple fera appel à un fabricant Chinois pour ses écrans

Branchez-vous -

Plus d'actualités

NASA : des tests sur la lave Islandaise avant d’aller sur Mars

NASA : des tests sur la lave Islandaise avant d’aller sur Mars

Branchez-vous -
Lancement en novembre et budget de 6 milliards de dollars pour Apple TV+

Lancement en novembre et budget de 6 milliards de dollars pour Apple TV+

Branchez-vous -
Lexend, la nouvelle police de Google pour améliorer la lisibilité

Lexend, la nouvelle police de Google pour améliorer la lisibilité

Branchez-vous -

Populaires

Faille sur Windows 10 : 800 millions de personnes touchées

Faille sur Windows 10 : 800 millions de personnes touchées

Branchez-vous -
EMUI 10 : les 35 smartphones compatibles

EMUI 10 : les 35 smartphones compatibles

Branchez-vous -
Facebook se met au «dark mode» sur Android

Facebook se met au «dark mode» sur Android

Branchez-vous -

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .