Sécurité : Apple en prend de la graine

Une vulnérabilité permettant de donner accès à l’ensemble des mots de passe de l’utilisateur, à condition d’avoir accès physiquement à la machine, vient d’être découverte dans Mac OS X. Le principe exploité est très simple : au lieu d’oublier discrètement le mot de passe après la demande d’identification, le système conserve celui-ci en mémoire en donnant potentiellement accès à un petit malin éventuel à l’ensemble des sésames stockés sur l’ordinateur. Il est en effet possible de ponctionner dans la DRAM le mot de passe principal, mais également les mots de passe du Trousseau d’accès, au moins dans la configuration par défaut.
Loginwindow.app, l’application-système en cause, était déjà présente dans NeXTSTEP, l’ancêtre de Mac OS X : Declan McCullagh qui a publié l’affaire sur son blog, après vérification dans les locaux de CNET, en déduit que la faille traîne sans doute depuis les premiers pas d’OS X… Reste que la manipulation n’est tout de même pas à la portée du premier venu.

Apple a répondu au journaliste que la backdoor devrait être condamnée assez rapidement, après avoir semble-t-il tenté de minimiser celle-ci auprès de Jacob Appelbaum le programmeur qui l’avait découverte. Coïncidence amusante, le nom de celui-ci signifie “pommier” : de quoi pourtant être au minimum pris au sérieux quand on vient vous signaler des pépins… :langue