Un chercheur allemand dans le domaine de la sécurité a publié ce week-end une vidéo montrant une nouvelle faille 0-day affectant le système d’exploitation MacOS d’Apple.

Dans une interview accordée au site allemand Heise, Linus Henze, le chercheur en sécurité, explique que la vulnérabilité permet à une application malveillante s’exécutant sur un système macOS d’accéder aux mots de passe stockés dans le porte-clés : le système de gestion des mots de passe intégré à toutes les distributions macOS.

L’exploitation de la faille est très efficace car l’application malveillante n’a pas besoin d’un accès administrateur pour récupérer les mots de passe du fichier Keychain de l’utilisateur, et elle peut même permettre de récupérer le contenu d’autres fichiers Keychain, qui stockent les mots de passe des autres utilisateurs MacOS.

Linus Henze n’a pas publié de preuve de concept à l’appui de ses conclusions, à l’exception d’une vidéo sur YouTube, mais un chercheur très respecté en sécurité d’Apple a confirmé dans un article de Forbes que la faille existe et que son exploitation fonctionne comme décrit dans l’interview allemande.

Linus Henze n’a pas signalé la vulnérabilité à Apple avant de rendre public sa vidéo. Il a cité l’absence d’un programme de primes (bug bounty) pour macOS comme la raison principale de son acte en ce sens. Apple propose des programmes bug bounty pour d’autres produits, mais pas pour macOS.

S’adressant à ZDNet, Linus Henze a déclaré que l’équipe de sécurité d’Apple avait pris contact avec lui récemment après que ses recherches aient commencé à attirer l’attention des médias.

L’équipe de sécurité d’Apple a demandé plus de détails, mais il a refusé de les livrer à moins qu’ils ne lancent un programme de bug bounty pour macOS également, et récompense les chercheurs en sécurité pour les bugs qu’ils trouvent dans macOS.

“Même si j’ai l’air de faire ça juste pour l’argent, ce n’est pas du tout ma motivation dans ce cas-ci” a dit Linus Henze à ZDNet. “Ma motivation est d’amener Apple à créer un programme de primes aux bugs. Je pense que c’est ce qu’il y a de mieux pour Apple et les chercheurs.”

“J’adore vraiment les produits Apple, et je veux les rendre plus sûrs. Et la meilleure façon de les rendre plus sûrs serait, à mon avis, pour Apple de créer un programme de bug bounty (comme d’autres grandes entreprises l’ont déjà fait)”, nous dit le chercheur. Apple n’a pas retourné les demandes de commentaire de ZDNet.

La 0 day de macOS trouvée par Linus Henze – qu’il nomme KeySteal – est un peu similaire à une autre 0 day de macOS nommé KeychainStealer, découvert par Patrick Wardle en septembre 2017. Coïncidence, Patrick Wardle est l’expert indépendant en sécurité d’Apple qui a confirmé aujourd’hui le “zero-day” de Henze pour Forbes.

Article “New macOS zero-day allows theft of user passwords” traduit et adapté par ZDNet.fr

Let a comment