Un chercheur en sécurité a révélé une faille zero-day dans le coffre-fort des mots de passe de macOS. Mais il ne veut pas transmettre les détails à Apple tant que celui-ci ne proposera pas de bug bounty. Une question de principe, selon lui.
Linus Henze est plutôt du genre têtu. Ce chercheur en sécurité vient de trouver une faille critique dans le coffre-fort des mots de passe de macOS (« Keychain » alias « Trousseaux d’accès »).
Elle permet à n’importe quelle application installée sur le système d’accéder aux précieux codes secrets, sans avoir besoin des droits d’administrateur. C’est plutôt grave, car l’application Keychain stocke les mots de passe de tous les services en ligne, comme les messageries ou les réseaux sociaux. Elle permet également d’accéder aux notes sécurisées.
Pour exploiter cette faille, il suffirait qu’un attaquant diffuse une application vérolée et qu’elle soit installé par l’utilisateur. Toutes les versions de macOS sont concernées, y compris la dernière (macOS Mojave 10.14.3). Pour le prouver, l’expert a mis en ligne une vidéo de démonstration.
Malheureusement, il ne faut pas espérer voir un patch à court terme. Le chercheur en sécurité refuse de transmettre les détails techniques de son attaque à la firme de Cupertino. La raison est simple, explique-t-il au site Heise.de, c’est parce que la société américaine ne propose pas de programme de récompenses (bug bounty). Apple, en effet, ne paye que pour les failles trouvées sur iOS. Et encore, pour toucher le pactole, il faut faire partie des chercheurs de sécurité qu’Apple a trié sur le volet. Une manière de faire qui n’est pas très « ouverte » et qui est souvent critiquée dans le milieu des chercheurs en sécurité.
Pour Linus Henze, la coupe est visiblement pleine et l’expert semble bien déterminé à ne plus travailler gratuitement pour Apple. Selon ZDnet, l’équipe de sécurité informatique du constructeur américain a déjà pris contact avec lui pour avoir des détails sur la faille de sécurité. Mais il est resté inflexible : pas d’informations tant qu’il n’y aura pas de programme officiel de récompenses. « Tout cela peut donner l’impression que je fais juste ça pour de l’argent, mais ce n’est pas du tout le cas. Ma motivation est d’inciter Apple à créer un programme de bug bounty. Je pense que c’est la meilleure solution pour Apple et pour les chercheurs en sécurité. J’adore les produits Apple et je veux améliorer leur sécurité », explique-t-il auprès de ZDnet.
En attendant que ce conflit soit résolu, il faut espérer que des pirates ne vont pas trouver, à leur tour, le moyen d’exploiter cette faille. Dans ce cas, tout le monde sera perdant. Pour se protéger un peu, la seule solution semble être de verrouiller à la main les dossiers qui sont ouverts par défaut, à savoir « session » et « Éléments locaux ». Ou de paramétrer un verrouillage automatique à partir d’un certain temps. Mais c’est contraignant au niveau de l’usage, car il faut alors renseigner le mot de passe maître à chaque fois que l’utilisateur veut se connecter quelque part.
Source : zdnet