Une faille critique dans Keychain d’OS X expose les mots de passe

Antoine Vincent Jebara et Raja Rahbani, co-fondateur et ingénieur de la start-up libanaise Myki (gestion d’identités), ont découvert une vulnérabilité dans le trousseau d’accès et mots de passe (Keychain) de Mac OS X. Elle expose les utilisateurs du système au vol d’identifiants, de certificats et d’autres données sensibles. Et ce même si l’utilisateur est vigilant, car il verra apparaître un bouton « autoriser » de manière brève et impromptue. Même s’il ne clique pas sur ce bouton, les développeurs indiquent que le déclenchement peut être réalisé par un malware, caché dans une image ou une vidéo. Une fois cliqué, les mots de passe peuvent être interceptés et transmis par SMS, ou d’autres moyens, au pirate.

Une vulnérabilité « extrêmement critique »

L’alerte s’affiche moins d’une seconde et n’est pas détectée par la plupart des solutions anti-malware. « La vulnérabilité est extrêmement critique », explique Jebara à CSO. « Elle permet à quiconque de voler tous vos mots de passe à distance en téléchargeant simplement un fichier qui n’a pas l’air malveillant, et ne peut pas être détecté par des anti-malwares, car il ne se comporte pas de la façon dont les logiciels malveillants le font habituellement ». Avant d’ajouter : « une vulnérabilité de cette ampleur [si elle était exploitée] aurait des conséquences désastreuses. Vous ne seriez pas en mesure d’ouvrir un fichier tiers sur votre ordinateur sans risquer de perdre toutes vos informations sensibles jusqu’à ce qu’Apple publie un patch ». Les développeurs en font la démonstration dans la vidéo ci-dessous :

Le groupe Apple a été informé de la faille, mais n’a pas répondu aux développeurs de Myki.

Lire aussi :

Des failles zero day sur Mac OS X et iOS ignorées par Apple
Apple corrige automatiquement des failles dans NTP pour Mac OS X

Crédit photo © Maksim Kabakou – Shutterstock