La faille macOS Mojave met en danger les mots de passe de votre trousseau
Photo: Killian Bell/Culte de Mac
Une nouvelle faille découverte dans macOS Mojave met en danger vos données sensibles de trousseau.
Un chercheur en sécurité a démontré un exploit qui pourrait permettre à n'importe qui d'accéder aux noms d'utilisateur et mots de passe enregistrés sans accès administrateur. Cependant, il ne partagera pas les détails avec Apple, car aucune récompense n'est proposée.
Grâce à son programme de prime aux bogues, Apple tousse des récompenses lorsque les gens découvrent de graves vulnérabilités iOS. Mais le même mécanisme ne s'étend pas à macOS. C'est pourquoi le chercheur Linuz Henze ne révélera pas les détails d'une faille nouvellement découverte à Mojave.
Cependant, Henze – qui a obtenu de bons antécédents en identifiant les problèmes iOS – semble heureux de montrer au monde exactement ce que permet la vulnérabilité. Et ce n'est pas bon.
L'exploit KeySteal vole les mots de passe du trousseau Mac
À l'aide d'un programme que Henze appelle KeySteal, il a réussi à capturer les noms d'utilisateur et les mots de passe enregistrés dans le trousseau macOS sans accès administrateur.
Cela ne fait aucune différence si listes de contrôle d'accès sont en place sur la machine. Les Mac Protection de l'intégrité du système ne peut pas l'empêcher non plus.
Voici une courte vidéo de KeySteal en action :
Henze dit que l'exploit peut être utilisé pour accéder à tous les éléments des trousseaux « connexion » et « système ». Cependant, il ne peut pas accéder aux données du trousseau iCloud, qui stocke les informations différemment.
Un chercheur en sécurité veut faire pression sur Apple
Henze ne divulguera pas ses découvertes à Apple en raison de sa frustration face à l'absence d'un programme de prime aux bogues pour macOS. Il encourage également d'autres chercheurs à divulguer publiquement les problèmes de sécurité, afin qu'ils puissent faire pression sur Apple pour qu'il apporte un changement.
Il n'est pas clair si Apple est au courant de ce problème particulier dans Mojave - mais il y a quelque chose que les utilisateurs peuvent faire pour se protéger.
Comment empêcher l'exploit KeySteal
Vous pouvez bloquer les exploits comme KeySteal en verrouillant le trousseau de connexion avec un mot de passe supplémentaire. Vous devez le faire manuellement car il n'est pas protégé par défaut dans macOS. Le correctif n'est pas idéal car cela signifie des invites de mot de passe sans fin lors de l'utilisation de votre Mac.
C'est le seul correctif pour cette vulnérabilité macOS pour l'instant, cependant. Donc, si le problème vous inquiète, c'est votre seul choix.
Passant par: Heise
