Passer au contenu

Sécurité : une faille « sérieuse » découverte dans Mac OS X Yosemite

Emil Kvarnhammar, expert en sécurité, a trouvé une faille dans le dernier Mac OS X qui permet à un utilisateur de gagner les privilèges root sans avoir à saisir de mot de passe. Les détails devraient être publiés en janvier prochain.

Après Shellshock, nouveau petit tremblement de terre dans le monde Apple. La dernière version de son OS pour Mac, Yosemite comporterait une faille « sérieuse », selon un analyste en sécurité de la société suédoise Truesec.

Emil Kvarnhammar, hacker white hat, appelle cette vulnérabilité « rootpipe », mais ne souhaite pas pour l’instant dire pourquoi il a choisi ce nom. Elle permet en effet une « montée en privilège », c’est-à-dire que même sans mot de passe l’attaquant peut obtenir le plus haut niveau d’accès à un ordinateur, le fameux root. Dès lors, l’attaquant peut faire ce qu’il souhaite sur la machine.

La genèse d’une découverte

Selon Emil Kvarnhammar, Apple n’a pas encore corrigé cette faille, l’expert en sécurité refuse donc pour l’instant de communiquer plus de détails sur sa découverte. En revanche, il est revenu sur la façon dont il l’a mise au jour. « Tout a commencé quand je préparais deux événements dédiés à la sécurité […]. Je voulais montrer une faille dans Mac OS X, mais assez peu avaient été publiées. Il y a quelques ‘’preuve de concept’’ en ligne, mais la dernière que j’ai trouvé affectait Mac OS X 10.8.5. Je n’ai pas réussi à trouver quelque chose d’équivalent pour 10.9 ou 10.10. »
Or, comme les utilisateurs de Mac mettent plus à jour leur machine que les utilisateurs sur PC, il souhaitait trouver quelque chose de nouveau pour les OS Mac les plus récents. « J’ai commencé à analyser les opérations en temps qu’administrateur et ai trouvé une façon de créer un shell avec des privilèges root, a-t-il expliqué au site suédois spécialisé CSO. Cela m’a pris quelques jours d’analyses de binaires pour trouver la faille, et j’ai été plutôt surpris quand je l’ai découverte ». Après quelques modifications de sa première trouvaille, qui fonctionnait sous Mountain Lion, Emil Kvarnhammar a réussi à la faire fonctionner sur Mavericks et le tout récent Yosemite. « Normalement, un mot de passe ‘’sudo’’ (pour obtenir des privilèges temporaires de super utilisateur, NDLR) est requis, il sert de barrière pour que l’administrateur ne puisse pas obtenir les accès root sans entrer le bon mot de passe. Mais rootpipe contourne cette protection », expliquait l’analyste.

Vague discussion avec Apple

Emil Kvarnhammar dit avoir informé Apple le lendemain de sa découverte mais ne pas avoir reçu de réelle réponse. Une discussion a toutefois eu lieu, au cours de laquelle les deux parties se sont mises d’accord sur une date de publication de la faille. Elle devrait intervenir en janvier prochain, selon toute vraisemblance.

L’expert suédois indiquait qu’Apple prend la sécurité au sérieux, malgré les extrêmes précautions qui sont prises quand des experts en sécurité externes font état de bugs ou de failles.

Comment se protéger ?

Avant d’en savoir plus sur la faille en question, Emil Kvarnhammar donne déjà quelques conseils pour s’en prémunir. Il faut éviter de travailler au quotidien avec un compte administrateur, qui possède donc un certain niveau de privilèges. Cela implique a priori de faire l’effort de créer au moins un deuxième compte utilisateur sur le Mac, puisque le compte créé par défaut bénéficie de ces privilèges.

Cela implique qu’il faudra saisir le mot de passe administrateur à chaque installation de logiciel, ce qui n’est pas une grosse contrainte puisque c’est déjà le cas normalement.

Par ailleurs, sans qu’on soit sûr que ce conseil soit lié à la faille qu’il a découverte, Emil Kvarnhammar recommande d’activer FileVault, la solution intégrée à Mac OS X (depuis Panther 10.3) qui permet de chiffrer le contenu de son disque dur.

A lire aussi :
Failles Shellshock : le patch d’Apple est incomplet
– 01/10/2014

Source :
CSO

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Pierre Fontaine