Une grave faille de sécurité affecterait le trousseau d'accès d'OS X et d'iOS (vidéos)
Par Didier Pulicani - Mis à jour le
Six chercheurs universitaires viennent de lever un lièvre : selon eux, démos à l'appui (ci-dessous), le trousseau d'accès d'OS X (et d'iOS) serait très facilement piratable.
Imaginez tout à coup que votre vénérable
Ces vénérables laborantins auraient contacté Apple dès le mois d'octobre 2014, histoire de laisser une chance à Cupertino de corriger rapidement la faille. La Pomme se serait montrée très à l'écoute et aurait demandé un délais de 6 mois pour rafistoler iOS et OS X. Manque de chance, à l'heure où nous écrivons ces lignes, iOS 8 et OS X Yosemite sont apparemment toujours vulnérables (on ne sait pas ce qu'il en est des betas d'iOS 9 et d'El Capitan), ce qui a -semble-t-il- poussé les chercheurs à contacter TheRegister.
Lorsqu'on parle de faille de sécurité, il est important de garder son sang-froid et d'en préciser les modalités exactes. Ici, la technique utilise certaines spécificités du trousseau d'accès : ce dernier est en effet capable de partager une information entre deux applications. Lorsque l'on crée une entrée dans le trousseau avec Safari -par exemple- aucune autre app n'y a accès et aucun malware ne pourra lire l'information. Avec cette nouvelle technique, le malware détruit cette fameuse entrée et la recrée avec les droits d'accès de Safari et de sa propre application. Du coup, si vous naviguez sur le site de votre banque -par exemple- Safari va vous demander de ré-entrer vos identifiants, qu'il va consciencieusement sauvegarder dans le trousseau et que le malware va pouvoir lire en clair. L'utilisateur pourra donc trouver louche que le trousseau ait, tout à coup, perdu la mémoire. Mais après-tout, la demande vient toujours d'une application et d'un site officiels, il n'y a donc a priori pas lieu de s'inquiéter.
AgileBits, le développeur de 1Password, ne voit pas comment contourner le problème -sauf à se passer du trousseau. Les équipes de Chromium ont d'ailleurs pris la décision de ne plus utiliser l'outil d'Apple, en attendant une solution.
Du point de vue de l'utilisateur, le danger est donc bien réel. Même une application validée par Apple (du Mac App Store) serait susceptible de cacher ce mécanisme de
Les chercheurs précisent enfin avoir également mis à mal les mécanismes d'échanges inter-apps présents dans OS X et iOS, qui toucheraient des apps comme Evernote, Facebook et beaucoup d'autres.
Ce n'est pas la première fois que le trousseau d'accès est pointé du doigt ou cache quelques failles. Généralement, pour se retrouver piégé, il fallait entrer son mot de passe utilisateur ou avoir un accès physique à la machine. Ici, la technique est plus fine et pourrait a priori berner n'importe quel Power User.
Nous attendons évidemment une réponse d'Apple sur le sujet, tous les détails techniques n'ont pas été dévoilées (en dehors des quelques vidéos, sujettes à caution et qui sont visibles ci-dessus)
Source
Imaginez tout à coup que votre vénérable
Keychain, intégré à votre Mac ou votre iPhone, se mette à livrer vos identifiants à n'importe quelle application lambda ? C'est à peu près ce que démontre la technique, à mi-chemin entre le cheval de Troie et le Malware.
Ces vénérables laborantins auraient contacté Apple dès le mois d'octobre 2014, histoire de laisser une chance à Cupertino de corriger rapidement la faille. La Pomme se serait montrée très à l'écoute et aurait demandé un délais de 6 mois pour rafistoler iOS et OS X. Manque de chance, à l'heure où nous écrivons ces lignes, iOS 8 et OS X Yosemite sont apparemment toujours vulnérables (on ne sait pas ce qu'il en est des betas d'iOS 9 et d'El Capitan), ce qui a -semble-t-il- poussé les chercheurs à contacter TheRegister.
Lorsqu'on parle de faille de sécurité, il est important de garder son sang-froid et d'en préciser les modalités exactes. Ici, la technique utilise certaines spécificités du trousseau d'accès : ce dernier est en effet capable de partager une information entre deux applications. Lorsque l'on crée une entrée dans le trousseau avec Safari -par exemple- aucune autre app n'y a accès et aucun malware ne pourra lire l'information. Avec cette nouvelle technique, le malware détruit cette fameuse entrée et la recrée avec les droits d'accès de Safari et de sa propre application. Du coup, si vous naviguez sur le site de votre banque -par exemple- Safari va vous demander de ré-entrer vos identifiants, qu'il va consciencieusement sauvegarder dans le trousseau et que le malware va pouvoir lire en clair. L'utilisateur pourra donc trouver louche que le trousseau ait, tout à coup, perdu la mémoire. Mais après-tout, la demande vient toujours d'une application et d'un site officiels, il n'y a donc a priori pas lieu de s'inquiéter.
AgileBits, le développeur de 1Password, ne voit pas comment contourner le problème -sauf à se passer du trousseau. Les équipes de Chromium ont d'ailleurs pris la décision de ne plus utiliser l'outil d'Apple, en attendant une solution.
Du point de vue de l'utilisateur, le danger est donc bien réel. Même une application validée par Apple (du Mac App Store) serait susceptible de cacher ce mécanisme de
vol de mot de passe. Il convient donc de ne pas télécharger n'importe quoi, en dehors des grands éditeurs.
Les chercheurs précisent enfin avoir également mis à mal les mécanismes d'échanges inter-apps présents dans OS X et iOS, qui toucheraient des apps comme Evernote, Facebook et beaucoup d'autres.
Ce n'est pas la première fois que le trousseau d'accès est pointé du doigt ou cache quelques failles. Généralement, pour se retrouver piégé, il fallait entrer son mot de passe utilisateur ou avoir un accès physique à la machine. Ici, la technique est plus fine et pourrait a priori berner n'importe quel Power User.
Nous attendons évidemment une réponse d'Apple sur le sujet, tous les détails techniques n'ont pas été dévoilées (en dehors des quelques vidéos, sujettes à caution et qui sont visibles ci-dessus)
Source
