KeySteal : une faille dans le trousseau sous macOS découverte... mais non divulguée volontairement ! (bug a bo...unty)

Fin Janvier, il n'était pas bon être un GPU Nvidia sous Mojave, dont le système refusait de mettre à jour les cartes graphiques concernées. En ce début de mois de Février, voici que c'est au tour du trousseau de l'OS d'Apple de faire des siennes via une faille assez importante permettant un accès à l'ensemble des mots de passe contenus dans l'utilitaire.

 

 

La vulnérabilité a été divulguée par un dénommé Linus Henze qui précise qu'un patch existant aurait dû colmater cette faille mais ce n'est, apparemment, pas le cas : via un logiciel malicieux - KeySteal - fait-maison et sans droits spéciaux aucun, le contournement sécuritaire serait chose aisé en notant, toutefois, que la manipulation ne permettrait pas un accès aux informations stockées sur iCloud. De plus, si l'utilisateur a renforcé la sécurité avec un second mot de passe général, cela réduirait considérablement les chances de réussites pour un individu malveillant.

 


Pour les détails, malheureusement, il n'y en a aucun, par protestation du découvreur de la vulnérabilité contre le programme de récompenses d'Apple relatifs aux bugs (Bounty) qui ne recensent que les bugs liés à iOS. Si la démarche apparaît légitime, reste qu'elle compromet, au passage, de nombreux terminaux sous Mojave. Reste, en attendant, un stratagème : verrouiller le trousseau d'accès mais il vous faudra rentrer le mot de passe à chaque ouverture de logiciel ... A suivre !

 

Source : Twitter Linus Henze - 3 Février 2019 - KeySteal : macOS Mojave (trousseau - bug).