Patrick Wardle, un ancien pirate informatique de la NSA, actuellement en charge de la recherche sur la sécurité à Synack, vient de dévoiler une vulnérabilité jour zéro affectant macOS High Sierra, la nouvelle version du système d’exploitation pour mac qui devrait être lancée dans les prochaines heures par Apple, ainsi que les versions précédentes de macOS.
Il a publié la vidéo de démonstration ci-dessous dans un tweet.
Il s’agit d’une vulnérabilité permettant d’exfiltrer des mots de passe.
Ces derniers sont stockés dans la Mac Keychain, une sorte de chambre forte numérique conçue de telle manière qu’une application obtient un accès à son contenu uniquement à l’aide d’un mot de passe maître.
La vulnérabilité de la Keychain, exposée dans la vidéo de Wardle, permet à des applications malveillantes de dérober les mots de passe sans avoir besoin de connaître le mot de passe maître, puis de les envoyer à un serveur distant par le réseau.
Le vol ne requiert aucune interaction de l’utilisateur, à l’exception de l’installation de l’application malveillante.
Un porte-parole d’Apple défend l’entreprise :*
« macOS est concu pour être sûr par défaut, et Gatekeeper prévient les utilisateurs contre l’installation d’applications non signées, comme celle montrée par cette démonstration de faisabilité, et les empêche de lancer ces applications sans accord explicite. Nous encourageons les utilisateurs à télécharger des applications de sources fiables exclusivement, comme le Mac App Store, et de bien faire attention aux fenêtres de dialogue de sécurité que présente macOS. »
Une réponse guère satisfaisante, puisque la vulnérabilité fonctionne également avec des applications signées, et qu’il suffit de prendre un abonnement développeur d’une centaine d’euros pour signer numériquement des applications.
Wardle, qui se dit un utilisateur passionné de Mac, est continuellement désappointé par l’insécurité de macOS, et suggère à Apple de lancer un programme de récompense pour les découvreurs de bogues.
Même s’il a prévenu Apple un mois avant la divulgation de la vulnérabilité, il n’est pas éthique de dévoiler des vulnérabilités jour zéro qui peuvent mettre en danger des dizaines de millions d’utilisateurs de Mac.
Les pirates éthiques ne dévoilent des vulnérabilités qu’après avoir laissé le temps aux entreprises de développer un correctif. En dernier recours, ils les divulguent avant si l’entreprise ne tient aucun compte des avertissements – en général un délai de trois mois minimum est accordé.
* Traduction : Le Diligent