All time Nerds BetterBe Carrières

Les mots de passe des utilisateurs d’OS X menacés

Par Laurent LaSalle – le dans Actualités
Une vulnérabilité découverte cette semaine sous OS X permet à un pirate «d'aspirer» l'ensemble des mots de passe stockés par l'application Trousseau d'accès.

Alors qu’ils travaillaient sur leur propre logiciel de gestion de mots de passe, MyKi, les programmeurs Antoine Vincent Jebara et Raja Rahbani ont découvert qu’une série de commandes pouvait être assemblée afin de demander à l’application Keychain (ou Trousseau d’accès) de divulguer tous les mots de passe emmagasinés par OS X.

Grâce à une combinaison de commandes précises, des pirates peuvent forcer OS X à révéler tous les mots de passe stockés par le système.

Lorsque soumis à cette routine, le système ne demande aucun mot de passe administrateur, mais requiert tout de même que l’utilisateur autorise l’accès en cliquant sur un bouton. Qu’à cela ne tienne, il est possible de simuler un clic de souris de façon logicielle.

La procédure en soi se déroule en 200 millisecondes. Il ne suffit que de connaître la position exacte du bouton, et le tour est joué. Cependant, en élaborant leur preuve de concept, les programmeurs ont été confrontés à un léger obstacle.

«Le bouton Autoriser s’affiche toujours à 10% de la droite du centre de l’écran, et à 7% vers le bas», a expliqué Jebara au blogue CSO. «On a remarqué que le seul problème qui pouvait affecter l’emplacement du bouton était la taille du Dock, alors nous avons ajouté une commande masquant le Dock pendant 500 ms afin de s’assurer que la simulation du clic se fasse avec succès.»

Une fois que la commande est autorisée, les mots de passe peuvent être transmis au serveur de commandement et de contrôle du pirate, ou stockés localement ailleurs sur l’ordinateur pour être extraits plus tard.

Le code en question peut être encapsulé dans n’importe quel type de fichier. La preuve de concept de Jebara et Rahbani utilise quant à elle une image pour déployer sa routine.

La balle est dans le camp d’Apple

Heureusement, les concepteurs de MyKi n’ont pas divulgué la combinaison de commandes leur permettant d’obtenir les mots de passe à l’insu d’un utilisateur d’OS X. Ils ont néanmoins transmis l’information à Apple, dans l’espoir que l’entreprise corrige la faille aussi vite que possible.

«Nous avons informé [Apple de la situation], parce que nous croyons que c’était la chose à faire, sachant qu’une vulnérabilité de cette ampleur peut avoir des conséquences désastreuses», a ajouté Jebara. «Mais cela ne signifie pas que nous ne serions pas prêts [à rendre le code] public.»

À noter que si l’utilisateur a choisi de stocker ses mots de passe sur iCloud, ceux emmagasinés par tout appareil iOS synchronisé avec le même compte que celui employé par le Mac peuvent également être exposés en employant cette méthode. Toutefois, la faille découverte n’affecte que les ordinateurs sous OS X. Sa présence est confirmée sous Yosemite, mais il y a fort à parier que les systèmes d’exploitation antérieurs se comportent de la même façon.

Comme le souligne le blogue 01Net, une technique très similaire a déjà été découverte il y a quelques jours par les chercheurs en sécurité de Malwarebytes dans un maliciel nommé Genieo.

Continuez votre lecture

Aperçu d’OS X Yosemite

Aperçu d’OS X Yosemite

Carl-Edwin Michel -
Fuite de la nouvelle interface d’OS X

Fuite de la nouvelle interface d’OS X

Laurent LaSalle -
Vulnérabilité importante au cœur de plusieurs applications OS X

Vulnérabilité importante au cœur de plusieurs applications OS X

Laurent LaSalle -
OS X : Google dévoile 3 vulnérabilités importantes

OS X : Google dévoile 3 vulnérabilités importantes

Laurent LaSalle -
Plus d’un milliard de mots de passe entre les mains d’un groupe de pirates russes

Plus d’un milliard de mots de passe entre les mains d’un groupe de pirates russes

Steve Rodrigue -
Facebook admet avoir gardé des millions de mots de passe à la vue de tous

Facebook admet avoir gardé des millions de mots de passe à la vue de tous

Matthieu Carlier -
Twitter : Les mots de passe de 32 millions de comptes circuleraient sur Internet

Twitter : Les mots de passe de 32 millions de comptes circuleraient sur Internet

Laurent LaSalle -
Un deuxième problème de sécurité sur iOS 7

Un deuxième problème de sécurité sur iOS 7

Laurent LaSalle -
Les capteurs de votre téléphone pourrait révéler vos NIP et mots de passe

Les capteurs de votre téléphone pourrait révéler vos NIP et mots de passe

Laurent LaSalle -
Deux virus s’attaquent au Mac et à la réputation d’Apple en matière de sécurité

Deux virus s’attaquent au Mac et à la réputation d’Apple en matière de sécurité

Laurent LaSalle -
Apple dévoile OS X El Capitan, la prochaine version de son système d’exploitation

Apple dévoile OS X El Capitan, la prochaine version de son système d’exploitation

Laurent LaSalle -
Quand l’internaute fait une surdose de mots de passe

Quand l’internaute fait une surdose de mots de passe

Apple dévoile OS X Yosemite

Apple dévoile OS X Yosemite

Laurent LaSalle -
Google pourrait verrouiller l’accès aux mots de passe stockés par Chrome

Google pourrait verrouiller l’accès aux mots de passe stockés par Chrome

Laurent LaSalle -
Remplacer les mots de passe par des empreintes cérébrales?

Remplacer les mots de passe par des empreintes cérébrales?

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .