•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Une faille permet le vol de tous vos mots de passe sur macOS

Une capture d'écran de la présentation d'Apple montrant Tim Cook sur la scène d'un amphithéâtre avec le mot « Mac » affiché à l'écran derrière lui.
Le bogue fonctionne sur la version 10.14.3 de macOS Mojave. Photo: Apple

Un chercheur en cybersécurité allemand a découvert un moyen de s'emparer de tous les mots de passe stockés sur un ordinateur Mac (comptes bancaires, adresse courriel, réseaux sociaux, etc.), mais il refuse de le dévoiler à Apple.

Linus Henze, un chercheur de 18 ans, a mis au point un logiciel malveillant capable de pénétrer dans les trousseaux d’accès, c’est-à-dire le gestionnaire de mots de passe inclus dans tous les ordinateurs Mac. Les utilisateurs qui se servent des trousseaux d’accès iCloud pourraient également se faire dérober leurs mots de passe utilisés sur d’autres appareils liés au compte, comme d’autres ordinateurs, des iPhone ou des iPad.

D’après les informations rapportées par des médias américains, l’attaque fonctionnerait sans que le logiciel malveillant ait les droits d’administrateur sur l’ordinateur visé. Les mots de passe des autres comptes utilisateurs de l’appareil seraient également accessibles.

La faille découverte par Linus Henze fonctionne sur la plus récente version de macOS, Mojave 10.14.3.

Apple ignoré

M. Henze a choisi de ne pas donner d’informations sur sa découverte à Apple, malgré des demandes de l’équipe de sécurité de l’entreprise. Il a plutôt mis en ligne une vidéo démontrant que son attaque fonctionne bel et bien. Cette façon de faire, très inhabituelle pour un chercheur, est généralement mal vue dans la communauté de la cybersécurité. Les chercheurs donnent normalement une chance à l’entreprise de régler une vulnérabilité avant d’en révéler l’existence publiquement.

Le jeune chercheur allemand affirme avoir pris cette décision pour dénoncer l’absence de programme de chasseurs de bogues pour macOS.

Ce genre de programmes, répandu auprès des entreprises technologiques, vise à récompenser financièrement les chercheurs qui divulguent des bogues de façon confidentielle. Cette méthode est vue comme gagnant-gagnant : le chasseur de bogues est rémunéré pour sa découverte et l'entreprise améliore la sécurité de ses produits tout en privant les pirates de vulnérabilités à exploiter.

Apple a des programmes de chasseurs de bogues pour certains de ses produits, mais pas pour macOS, le système d’exploitation de ses ordinateurs Mac.

Pas une question d'argent

« Même si je peux donner l’impression que je ne fais ça que pour l’argent, ce n’est pas du tout ma motivation dans ce cas-ci, a expliqué Linus Henze à ZDNet. Mon objectif est de forcer Apple à créer un programme de chasseurs de bogue. Je pense que ça serait la meilleure chose à faire, tant pour Apple que pour les chercheurs. »

On ignore quand Apple sera en mesure de déployer une mise à jour pour régler la faille découverte par M. Henze.

Avec les informations de Forbes, et ZDNet

Cybersécurité

Techno