Très pratique au quotidien, la fonction d’aperçu de fichier de macOS embarque une petite « faille » qui donne accès à tout ou partie de vos données (chiffrées ou non) prévisualisées grâce à elle.
Apparu dans Leopard (Mac OS X 10.5), en 2007, la fonction Coup d’oeil (Quick Look, en anglais) est rapidement devenue très populaire. Il faut dire qu’il est extrêmement pratique de pouvoir prévisualiser un fichier sans avoir à l’ouvrir avec l’application censée le gérer.
Comment ça marche ?
Pour que la magie opère, chaque fois qu’on jette un œil rapidement à un fichier, macOS conserve une vignette de ce document. Cette représentation du fichier contient le nom complet du fichier, son chemin d’accès et une image réduite qui montre une partie du contenu. Rien de foncièrement problématique ?
Hélas si. Car ces informations générées par Aperçu sont stockées en cache sur une partie non chiffrée du disque même si la fonction a été utilisée pour prévisualiser un fichier chiffré, présent sur une partie chiffrée de l’espace de stockage du Mac ou un volume externe chiffré, lui aussi.
Autrement dit, le risque est important d’exposer des données qu’on souhaitait protéger. Pire, n’importe quel disque de stockage qui a été connecté à une machine peut avoir laissé derrière lui des aperçus de ses fichiers… Car, ce thumbnail est conservé sur le disque dur même si le volume d’origine est déconnecté ou, pire encore, si le fichier source est effacé, préviennent Patrick Wardle et Wojciech Regula, deux experts en sécurité informatique à l’origine de cette révélation.
Une solution en attendant un correctif
Cette faille de sécurité n’est pas forcément grave. Il faut en effet qu’une personne mal intentionnée ait accès à votre Mac ou y ait installé un malware pour pouvoir piocher dans cette manne de vignettes. Pour l’heure, la solution est simple, continuez à utiliser Aperçu mais pensez à effacer le répertoire qui contient les thumbnails. Surtout si vous avez visualisé des informations confidentielles depuis une clé USB chiffrée, par exemple.
La manipulation se fait depuis le Terminal et requiert un redémarrage de la machine.
1 – Avec le raccourci Cmd Espace, activez Spotlight.
2 – Dans la fenêtre de saisie qui s’ouvre, tapez Terminal et validez.3 – Une fois le Terminal ouvert, après le prompt, saisissez :
rm -rf $TMPDIR/../C/com.apple.QuickLook.thumbnailcacheValidez la commande.
4 – Puis tapez sudo reboot. Validez une fois encore et saisissez votre mot de passe administrateur.
Le fait de rebooter le Mac après avoir effacé le répertoire en crée un nouveau, totalement vierge. Ce que n’arrivait pas à faire des commandes de suppression moins « jusqu’au-boutistes ».
Il faut espérer maintenant qu’Apple va rapidement corriger ce problème qui met à mal la sécurité des informations des utilisateurs de ses Mac. C’est d’autant plus gênant que la société de Cupertino porte généralement haut les couleurs de la protection de nos données privées.
Source : Blog Objective-See de Patrick Wardle