Une faille 0-day dans OS X et iOS met le trousseau d’accès en danger
En réussissant à télécharger et faire valider sur l’App Store un malware, l’équipe de Luyi Xing a réussi à “voler” les mots de passe d’iCloud, de Mail et Google Chrome sans éveiller de soupçons. Sans mauvaises intentions, les chercheurs ont averti Apple et se sont engagés à retarder la publication de leurs résultats pendant 6 mois, mais n’ont jamais plus eu de nouvelles de Cupertino, sans que la faille soit pour autant comblée !
Les “pirates”, bien intentionnés, ont réussi à “cracker” le trousseau d’accès que le système utilise pour stocker mots de passe et certificats et ont identifié des faiblesses dans les mécanismes de communication inter-applications offrant la possibilité de récupérer des données confidentielles d’applications majeures telles que Chrome, Facebook ou Evernote.
Toujours selon la fine équipe, un (pas) joli 88,6% d’applications parmi 1612 applications Mac et 200 applications iOS seraient exposées au vol de données “sécurisées”.
Après avoir certes reconnu la gravité du problème signalé en octobre 2014 et demandé des détails complémentaires en février dernier, Apple n’a pas pour autant réagi sur le plan technique : la faille est toujours présente dans OS X 10.10.3.
AgileBits, l’éditeur de l’excellent 1Password, a avoué ne pas avoir trouvé de moyen de protéger son coffre-fort ni de rendre les attaques plus difficiles au niveau de son application.
L’équipe de Chromium a “résolu” le problème en supprimant l’intégration du trousseau d’accès, solution radicale pour rétablir la sécurité des données, mais au détriment des fonctionnalités.
La balle est dans le camp d’Apple qui va devoir rapidement revoir les mécanismes de communication et de partage d’informations entre applications sous peine de voir des développeurs malicieux s’engouffrer dans la brèche encore ouverte à ce jour !
– Source : The Register
