All time Branchez-vous Branche Toi BetterBe Nerds Carrières

Les mots de passe des utilisateurs d’OS X menacés

Par Laurent LaSalle – le dans Actualités
Une vulnérabilité découverte cette semaine sous OS X permet à un pirate «d'aspirer» l'ensemble des mots de passe stockés par l'application Trousseau d'accès.

Alors qu’ils travaillaient sur leur propre logiciel de gestion de mots de passe, MyKi, les programmeurs Antoine Vincent Jebara et Raja Rahbani ont découvert qu’une série de commandes pouvait être assemblée afin de demander à l’application Keychain (ou Trousseau d’accès) de divulguer tous les mots de passe emmagasinés par OS X.

Grâce à une combinaison de commandes précises, des pirates peuvent forcer OS X à révéler tous les mots de passe stockés par le système.

Lorsque soumis à cette routine, le système ne demande aucun mot de passe administrateur, mais requiert tout de même que l’utilisateur autorise l’accès en cliquant sur un bouton. Qu’à cela ne tienne, il est possible de simuler un clic de souris de façon logicielle.

La procédure en soi se déroule en 200 millisecondes. Il ne suffit que de connaître la position exacte du bouton, et le tour est joué. Cependant, en élaborant leur preuve de concept, les programmeurs ont été confrontés à un léger obstacle.

«Le bouton Autoriser s’affiche toujours à 10% de la droite du centre de l’écran, et à 7% vers le bas», a expliqué Jebara au blogue CSO. «On a remarqué que le seul problème qui pouvait affecter l’emplacement du bouton était la taille du Dock, alors nous avons ajouté une commande masquant le Dock pendant 500 ms afin de s’assurer que la simulation du clic se fasse avec succès.»

Une fois que la commande est autorisée, les mots de passe peuvent être transmis au serveur de commandement et de contrôle du pirate, ou stockés localement ailleurs sur l’ordinateur pour être extraits plus tard.

Le code en question peut être encapsulé dans n’importe quel type de fichier. La preuve de concept de Jebara et Rahbani utilise quant à elle une image pour déployer sa routine.

La balle est dans le camp d’Apple

Heureusement, les concepteurs de MyKi n’ont pas divulgué la combinaison de commandes leur permettant d’obtenir les mots de passe à l’insu d’un utilisateur d’OS X. Ils ont néanmoins transmis l’information à Apple, dans l’espoir que l’entreprise corrige la faille aussi vite que possible.

«Nous avons informé [Apple de la situation], parce que nous croyons que c’était la chose à faire, sachant qu’une vulnérabilité de cette ampleur peut avoir des conséquences désastreuses», a ajouté Jebara. «Mais cela ne signifie pas que nous ne serions pas prêts [à rendre le code] public.»

À noter que si l’utilisateur a choisi de stocker ses mots de passe sur iCloud, ceux emmagasinés par tout appareil iOS synchronisé avec le même compte que celui employé par le Mac peuvent également être exposés en employant cette méthode. Toutefois, la faille découverte n’affecte que les ordinateurs sous OS X. Sa présence est confirmée sous Yosemite, mais il y a fort à parier que les systèmes d’exploitation antérieurs se comportent de la même façon.

Comme le souligne le blogue 01Net, une technique très similaire a déjà été découverte il y a quelques jours par les chercheurs en sécurité de Malwarebytes dans un maliciel nommé Genieo.

Les dernières nouvelles

Fortnite : des employés d’Epic Games décrivent des conditions de travail désastreuses

Fortnite : des employés d’Epic Games décrivent des conditions de travail désastreuses

Matthieu Carlier -
Ventes de smartphones en Europe : Apple coule, Huawei explose

Ventes de smartphones en Europe : Apple coule, Huawei explose

Branchez-vous -
Google met fin à la synchronisation des photos sur Google Drive

Google met fin à la synchronisation des photos sur Google Drive

Branchez-vous -

Plus d'actualités

Huawei persiste et déploie Android 9.0 Pie sur le P20 Lite

Huawei persiste et déploie Android 9.0 Pie sur le P20 Lite

Matthieu Carlier -
E3 2019 : résumé et faits saillants du grand salon du jeu vidéo !

E3 2019 : résumé et faits saillants du grand salon du jeu vidéo !

Daniel Carosella -
Avec «Your daily drive», Spotify imite la radio en mélangeant podcasts et musique

Avec «Your daily drive», Spotify imite la radio en mélangeant podcasts et musique

Branchez-vous -

Populaires

Huawei : les smartphones définitivement privés de Facebook, Whatsapp et Instagram

Huawei : les smartphones définitivement privés de Facebook, Whatsapp et Instagram

Matthieu Carlier -
Pixel 4 : Google, pour mettre fin aux fuites, dévoile son smartphone en avance

Pixel 4 : Google, pour mettre fin aux fuites, dévoile son smartphone en avance

Matthieu Carlier -
HongMeng OS : Huawei aurait déjà produit 1 million de smartphones avec son OS

HongMeng OS : Huawei aurait déjà produit 1 million de smartphones avec son OS

Branchez-vous -

Laurent LaSalle

Depuis qu'il a tapoté sur son Commodore Vic-20 à l'âge de 3 ans, Laurent est (un peu trop) obsédé par la technologie. Passionné d'informatique et de jeux vidéo, il a notamment été blogueur pour Radio-Canada et chroniqueur techno pour MusiquePlus .