Une faille dans le Trousseau d'OS X et iOS peut conduire à une fuite de mots de passe

Attention à ce que vous installez
Une faille dans le Trousseau d'OS X et iOS peut conduire à une fuite de mots de passe
Crédits : Henrik5000/iStock

Une équipe de chercheurs a mis la main sur d’importantes failles dans le Trousseau d’OS X et iOS. Ce composant clé des deux systèmes est vulnérable à une attaque aboutissant à la capture des mots de passe de l’utilisateur. Apple a été avertie en octobre, mais la firme n’a pas bougé assez rapidement.

Une faille dans les communications avec le Trousseau

Apple est actuellement victime d’un sérieux problème de sécurité. Des chercheurs provenant de trois universités américaines (Indiana, Géorgie et Peking) ont averti la firme en octobre de l’exploitation possible d’une faille présente dans le Trousseau d’OS X, que l’on retrouve dans iOS. Les conséquences sont particulièrement graves et multiples, puisque l’équipe a pu créer un malware capable d’accomplir différents méfaits, dont le vol des mots de passe de l’utilisateur.

L’exploitation, et donc la méthode utilisée, a été nommée XARA par les chercheurs, pour « Cross-app Ressource Access ». Un nom qui reflète bien le mécanisme d’action : à travers la faille, un pirate peut attaquer le mécanisme de contrôle d’accès du Trousseau (qui repose sur le projet TrustBSD) et intercepter au passage les communications qui se font entre ce composant et les applications ou sites web qui y accèderaient. Étant donnée la place centrale du Trousseau dans les Mac et les appareils iOS, la faille est donc très sérieuse.

Un malware caché peut automatiser la récupération des mots de passe

Mais les chercheurs sont allés beaucoup plus loin dans leur volonté de prouver à quel point la situation était problématique. Ils ont créé un malware et l’ont caché dans une application qui a ensuite été soumise à validation sur l’App Store. Le processus s’est passé sans encombre et l’équipe a pu montrer qu’une fois en place, la fausse application pouvait s’attaquer à d’autres, notamment Chrome et Evernote, pour voler les mots de passe. Facebook, Twitter, iCloud, tout y passe, même les concentrateurs d’identifiants comme LastPass, Dashlane et 1Password.

En fait, la seule limitation à l’exploitation de la faille est qu’une fois le malware en place, il ne peut intercepter « que » les mots de passe transitant vers le Trousseau. Ceux qui y étaient déjà stockés ne peuvent pas être prélevés. Malheureusement, l’attaque XARA est utilisable dans des contextes assez variés, avec pour finalité la récupération d’informations identifiantes, par exemple en piratant les adresses que certaines applications utilisent entre elles pour communiquer. Les chercheurs ont ainsi pu utiliser des adresses « wunderlist:// » (qui communiquent des paramètres à l’application du même nom) pour récupérer le jeton de sécurité Google Single Sign On transmis depuis le navigateur.

La faille est d’autant plus grave qu’elle peut être exploitée à la fois sur les Mac et sur l’ensemble des appareils iOS, dès lors qu’il suffit qu’une application particulière soit installée. Le passage par l’App Store n’y change rien, et même la sandbox se révèle inutile : espace isolé ou non, la vulnérabilité réside dans la manière même qu’a une application de communiquer avec le Trousseau. Et c’est précisément de ce danger que les chercheurs ont averti Apple en octobre dernier, comme ils l'ont indiqué à The Register.

Apple n'a pas réagi assez vite

La firme a selon eux pris rapidement conscience de la situation mais a demandé à l’équipe de repousser un peu la publication des résultats, le travail nécessitant au moins six mois de travail selon elle. Malheureusement, les chercheurs ont observé le travail effectué sur la mise à jour 10.10.3 de Yosemite ainsi que sur la bêta de la 10.10.4, et s’ils ont remarqué que les travaux avaient bien commencé, les exploitations de la faille étaient toujours valables. Rien n’est dit cependant au sujet d’El Capitan, le nouvel OS X présenté à la WWDC.

Actuellement, les utilisateurs sont désarmés face à cette situation et ne peuvent rien faire, à part attendre qu’Apple corrige les fameuses vulnérabilités, comme l’ont indiqué les chercheurs à Ars Technica. Le seul conseil possible est de faire attention aux applications qui sont installées et de se contenter de celles à qui l’on peut faire « confiance ».

Enfin, selon les découvreurs de la vulnérabilité, ce problème ne pourrait être que le début d’une longue lignée. S’ils remarquent en effet qu’Android se comporte mieux face aux scénarios d’attaque XARA, il semble qu’aucun système ne soit intégralement protégé : « De telles découvertes, dont nous pensons qu’elles ne sont que la partie émergée de l’iceberg, vont certainement inspirer la suite des recherches sur d’autres risques de type XARA à travers les plateformes ».

Ce contenu est désormais en accès libre

Il a été produit grâce à nos abonnés, l'abonnement finance le travail de notre équipe de journalistes.

ou choisissez l'une de nos offres d'abonnement :

26 commentaires
Avatar de otto INpactien
Avatar de ottootto- 18/06/15 à 10:38:04

6  mois pour combler une faille dont on a le détail d'utilisation, c'est abusé... mais il parait que pour tim, la sécurité de nos données est importante. Je crois surtout que ce sont les chiffres de vente qui sont important, le reste, on s'en cogne...
 
Pas de détails sur les versions d'OS X touché?
 
Je vois d'ici les anciennes version d'OS X sans mise à jour de sécurité...

Édité par otto le 18/06/2015 à 10:39
Avatar de Oliewan Abonné
Avatar de OliewanOliewan- 18/06/15 à 10:38:59

Etonnat qu'une firme telle qu'Apple ne se bouge pas tant que ca concernant des failles de sécurité aussi sérieuses que ça. D'autant plus que son image de marque repose en grande partie sur la sécurité de ses systèmes...

Avatar de otto INpactien
Avatar de ottootto- 18/06/15 à 10:48:35

Oliewan a écrit :

Etonnat qu'une firme telle qu'Apple ne se bouge pas tant que ca concernant des failles de sécurité aussi sérieuses que ça. D'autant plus que son image de marque repose en grande partie sur la sécurité de ses systèmes...

Son image peut être. Dans la réalité c'est bien différent... Apple a toujours été en retard sur windows et linux sur pas mal de techno... l'aslr est natif sous window depuis vista. Sous os X il a fallut se contenter d'une semi implémentation... ca doit juste faire un ou 2 ans que l'aslr est complet sous OS X...

Avatar de Oliewan Abonné
Avatar de OliewanOliewan- 18/06/15 à 10:51:56

Ha oui quand même !

Avatar de anonyme_facd190c5f9109a1ba0b737452c6abc5 INpactien

"Ils ont créé un malware et l’ont caché dans une application qui a ensuite été soumise à validation sur l’App Store. Le processus s’est passé sans encombre..."

Avatar de otto INpactien
Avatar de ottootto- 18/06/15 à 11:14:25

agiTed a écrit :

"Ils ont créé un malware et l’ont caché dans une application qui a ensuite été soumise à validation sur l’App Store. Le processus s’est passé sans encombre..."

En même temps, c'est plus que logique qu'une application utilisant une faille non découverte passe les barrières de validation...

Avatar de Alphateam INpactien
Avatar de AlphateamAlphateam- 18/06/15 à 11:16:38

Ou qu'il est Snowden?

Avatar de Mr.Nox Abonné
Avatar de Mr.NoxMr.Nox- 18/06/15 à 11:17:37

Trois mois c'est trop chez Microsoft mais la 8 mois ça semble être normal...

Avatar de otto INpactien
Avatar de ottootto- 18/06/15 à 11:19:11

Alphateam a écrit :

Ou qu'il est Snowden?

Il pleure dans son coin d'avoir fait une déclaration d'amour à apple y a quelque jours... 

Avatar de Alphateam INpactien
Avatar de AlphateamAlphateam- 18/06/15 à 11:25:07

otto a écrit :

Il pleure dans son coin d'avoir fait une déclaration d'amour à apple y a quelque jours... 

Le pire c'est qu'il a réaffirmé ça il y a peu :http://techcrunch.com/2015/06/17/but-bring-the-hammer-if-it-betrays-us/

Il n'est plus possible de commenter cette actualité.
Page 1 / 3

Votre commentaire

Avatar de lecteur anonyme
Avatar de lecteur anonyme

2000 - 2019 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0321 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact