Grosse faille de sécurité pour iOS et pour OS X

iOS et OS X sont relativement sécurisés, mais aucun système n’est fiable à 100% et c’est précisément ce que vient de prouver une équipe composée de plusieurs universitaires américains et chinois. En fouinant, ces experts sont effectivement tombés sur une grosse faille de sécurité mettant en danger tous nos mots de passe.

Si vous avez un iPhone ou un Mac à la maison, alors vous connaissez sans doute le trousseau d’accès et c’est assez logique car il est disponible sur les deux plateformes depuis quelques versions.

Faille sécurité OS X iOS

Des universitaires ont déniché une nouvelle faille de sécurité touchant le trousseau intégré à iOS et à OS X.

Cet outil est assez simple, assez basique, et il se contente finalement d’enregistrer tous les mots de passe saisis par les utilisateurs pour qu’ils n’aient pas besoin de les taper de nouveau.

Apple est au courant depuis six mois mais la firme n’a pas encore publié de correctif

Cela vaut pour iCloud, bien sûr, mais aussi pour Mail et pour tous les mots de passe tapés dans le navigateur.

Jusqu’à présent, tout le monde pensait l’outil fiable mais ce n’est visiblement pas le cas. Du moins pas autant qu’on le pensait. Des chercheurs issus de trois universités ont effectivement mis le doigt sur une faille dans la solution.

A la base, le trousseau compartimente les données entre les applications. Safari n’est ainsi pas capable d’accéder aux mots de passe stockés par Mail et vice versa. L’idée, c’est évidemment d’éviter qu’un malware puisse accéder aux informations stockées par les programmes légitimes.

Mais voilà, nos chercheurs ont trouvé un moyen d’intercepter les données échangées entre les applications et le composant intégré au trousseau. Grâce à ce système, il est donc possible de récupérer à la volée les mots de passe en train d’être enregistrés dans la solution.

Le pire reste à venir car nos experts ont même été jusqu’à cacher un malware dans une application avant de la soumettre à validation sur l’AppStore. Tout le monde n’y a vu que du feu et l’outil s’est rapidement retrouvé sur la boutique de la Pomme Croquée.

Et devinez quoi ? Grâce à lui, ils sont parvenus à récupérer de nombreux mots de passe sur Twitter, Facebook, iCloud ou même… LastPass et 1Password.

La bonne nouvelle, c’est que cette technique n’est pas rétro-active et elle ne peut pas récupérer les anciens mots de passe stockés dans le trousseau. Uniquement les nouveaux. Ceci étant, cette faille n’en reste pas moins très préoccupante.

Nos universitaires ont contacté la firme en octobre dernier pour leur faire remonter le problème. Elle leur a demandé de ne pas divulguer la faille pour avoir le temps de développer un correctif. Ils ont attendu pendant six mois, en pure perte.

Apple n’a pas corrigé la faille et c’est précisément pour cette raison qu’ils ont décidé de la rendre publique.

Ils ont donc publié un rapport complet accessible à cette adresse. Il détaille toutes leurs observations. Si vous lisez l’anglais et si vous vous intéressez à la sécurité, vous devriez donc apprendre pas mal de choses.

Via