Quelques heures seulement après son déploiement, macOS Mojave se paye déjà une faille de sécurité

Alors qu’une des annonces phares d’Apple pour macOS Mojave concernait justement la protection des données personnelles au travers, notamment, d’un « Dark Mode », une faille de sécurité permettant d’accéder à certaines de ces données a été pointée du doigt par le cofondateur de DigitaSecurity. En matière de sécurité, la firme à la pomme n’aura donc tenu ses promesses que quelques heures seulement, puisque ces failles ont été découvertes le jour même du déploiement de la dernière version de macOS.

C’est sur Vimeo que Patrick Wardle a démontré qu’avec une invite de commande, une poignée de secondes suffisent à contourner une partie du système de protection pensé par Apple, pour finalement mettre la main sur des contacts issus du carnet d’adresses de l’OS. Une vulnérabilité que l’intéressé a par la suite partagée sur Twitter. Elle ne permettrait toutefois qu’un accès « limité » aux données personnelles de l’utilisateur.

Mauvaise nouvelle pour Apple, la dernière version de son système d’exploitation embarque une faille de sécurité. Cette vulnérabilité permettrait d’obtenir un accès « limité » aux données personnelles.

Dans un entretien avec Bleeping Computer Patrick Wardle a expliqué son mode opératoire. Pour parvenir à passer outre le système d’autorisation de l’utilisateur, mis en place par Apple, le chercheur a utilisé une application qui peut être lancée sans autorisation particulière. Cette dernière permettait par la suite d’exploiter la faille zero-day. Une faille due à la manière dont la marque « a implémenté ses protections pour des types variés de données privées« , a-t-il indiqué sans rentrer plus avant dans les détails.

Une publicité dont Apple se serait bien passé, mais une faille à la gravité modérée

Des détails, il prévoit toutefois d’en donner plus à l’occasion d’une conférence de sécurité se déroulant en novembre prochain. En attendant, précision est faite que si la faille découverte n’est pas d’une gravité absolue, elle s’avère valable pour quiconque chercherait à pénétrer le système de protection. L’intéressé décrit d’ailleurs ladite vulnérabilité comme « triviale, mais 100% fiable (…)« . A priori cette dernière n’a toutefois rien à voir avec un bug universel. Comme le précise CNet US, elle n’impacterait d’ailleurs pas les autres fonctionnalités de protection des données de macOS Mojave.

A noter que Patrick Wilson cherche actuellement à contacter Apple en vue de faire part, dans le détail, de sa découverte à la firme. Pour l’heure la marque n’aurait pas encore donné suite, mais, bon prince, le chercheur aimerait reverser la récompense qu’Apple pourrait lui offrir à un organisme de bienfaisance.