Les mots de passe des utilisateurs d’OS X menacés

Vulnérabilité critique

Liste de tags

Une vulnérabilité découverte cette semaine sous OS X permet à un pirate «d’aspirer» l’ensemble des mots de passe stockés par l’application Trousseau d’accès.

Alors qu’ils travaillaient sur leur propre logiciel de gestion de mots de passe, MyKi, les programmeurs Antoine Vincent Jebara et Raja Rahbani ont découvert qu’une série de commandes pouvait être assemblée afin de demander à l’application Keychain (ou Trousseau d’accès) de divulguer tous les mots de passe emmagasinés par OS X.

Grâce à une combinaison de commandes précises, des pirates peuvent forcer OS X à révéler tous les mots de passe stockés par le système.

Lorsque soumis à cette routine, le système ne demande aucun mot de passe administrateur, mais requiert tout de même que l’utilisateur autorise l’accès en cliquant sur un bouton. Qu’à cela ne tienne, il est possible de simuler un clic de souris de façon logicielle.

La procédure en soi se déroule en 200 millisecondes. Il ne suffit que de connaître la position exacte du bouton, et le tour est joué. Cependant, en élaborant leur preuve de concept, les programmeurs ont été confrontés à un léger obstacle.

«Le bouton Autoriser s’affiche toujours à 10% de la droite du centre de l’écran, et à 7% vers le bas», a expliqué Jebara au blogue CSO. «On a remarqué que le seul problème qui pouvait affecter l’emplacement du bouton était la taille du Dock, alors nous avons ajouté une commande masquant le Dock pendant 500 ms afin de s’assurer que la simulation du clic se fasse avec succès.»

Une fois que la commande est autorisée, les mots de passe peuvent être transmis au serveur de commandement et de contrôle du pirate, ou stockés localement ailleurs sur l’ordinateur pour être extraits plus tard.

Le code en question peut être encapsulé dans n’importe quel type de fichier. La preuve de concept de Jebara et Rahbani utilise quant à elle une image pour déployer sa routine.

La balle est dans le camp d’Apple

Heureusement, les concepteurs de MyKi n’ont pas divulgué la combinaison de commandes leur permettant d’obtenir les mots de passe à l’insu d’un utilisateur d’OS X. Ils ont néanmoins transmis l’information à Apple, dans l’espoir que l’entreprise corrige la faille aussi vite que possible.

«Nous avons informé [Apple de la situation], parce que nous croyons que c’était la chose à faire, sachant qu’une vulnérabilité de cette ampleur peut avoir des conséquences désastreuses», a ajouté Jebara. «Mais cela ne signifie pas que nous ne serions pas prêts [à rendre le code] public.»

À noter que si l’utilisateur a choisi de stocker ses mots de passe sur iCloud, ceux emmagasinés par tout appareil iOS synchronisé avec le même compte que celui employé par le Mac peuvent également être exposés en employant cette méthode. Toutefois, la faille découverte n’affecte que les ordinateurs sous OS X. Sa présence est confirmée sous Yosemite, mais il y a fort à parier que les systèmes d’exploitation antérieurs se comportent de la même façon.

Comme le souligne le blogue 01Net, une technique très similaire a déjà été découverte il y a quelques jours par les chercheurs en sécurité de Malwarebytes dans un maliciel nommé Genieo.

  • Steve Rodrigue

    Intéressant… On voit de plus en plus d’attaques contre les produits Apple. Le mythe de la sécurité va peut-être tomber.

    Car, malgré ce que beaucoup pensent, TOUT les systèmes d’exploitation on des vulnérabilités et nous devons TOUS être prudents et adopter des habitudes de navigation rigoureuses afin d’éviter de se faire avoir!