La nouvelle version de macOS est disponible depuis hier, 25 septembre. Baptisée « High Sierra » (ou simplement 10.13), cette nouvelle mouture apporte toute une série d’améliorations. Malheureusement, elle comporte aussi une faille zero-day qui permet de voler les données de Trousseaux d’accès (Keychain for Mac), une appli qui permet au système de stocker les identifiants et les mots de passe pour des applications, des sites web et des serveurs réseau. Autant dire que c’est une vulnérabilité très critique.
La faille a été trouvée par le chercheur en sécurité Patrick Wardle début septembre. L’expert a publié une vidéo de démonstration quelques heures avant la disponibilité du nouveau système d’exploitation. Dans une note de blog, le chercheur précise avoir testé cette faille sur macOS Sierra et High Sierra. Il pense que la version El Capitan est également vulnérable.
Dans cette vidéo, on voit que la « victime » télécharge et exécute une application non signée. On voit ensuite les données sensibles, des mots de passe en clair, des trousseaux d’accès qui se téléchargent sur une seconde machine. Pour le visualiser, le chercheur exécute la commande « nc -l 1337 », ce qui permet de surveiller le trafic réseau arrivant sur le port 1337.
Cette faille peut être exploitée de la même manière par une application signée en bonne et due forme par un développeur Apple. « Je vous voulais simplement montrer à quel point la barre était basse. En fait, n’importe quel type de code malveillant peut réaliser cette attaque. Cela inclut également les applications signées », explique Patrick Wardle.
Il est possible de verrouiller les trousseaux d’accès
Evidemment, le chercheur ne donne aucun détail technique sur cette attaque. Conformément au code éthique des hackers « white hat », il a alerté Apple quelques jours après avoir trouvé la faille. La firme de Cupertino travaille actuellement sur un patch. En attendant, il ne faut pas céder à la panique. Cette attaque nécessite d’abord de compromettre la machine, ce qui limite quand même son rayon d’action. Pour se protéger, il est recommandé de ne pas télécharger et exécuter des applications douteuses sur le web ou qui seraient proposées par email.
Par ailleurs, l’attaque est impossible quand l’accès aux trousseaux est verrouillé. Par défaut, malheureusement, ces derniers sont déverrouillés dès que l’on s’identifie sur la machine. Mais il est possible de re-verrouiller les trousseaux manuellement, au travers de l’application Trousseaux d’accès. Il est également possible de définir un mot de passe spécifique pour les trousseaux d’accès, ce qui a pour effet de désactiver le déverrouillage automatique.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.