Antoine Vincent Jebara et Raja Rahbani, co-fondateur et ingénieur de la start-up libanaise Myki (gestion d’identités), ont découvert une vulnérabilité dans le trousseau d’accès et mots de passe (Keychain) de Mac OS X. Elle expose les utilisateurs du système au vol d’identifiants, de certificats et d’autres données sensibles. Et ce même si l’utilisateur est vigilant, car il verra apparaître un bouton « autoriser » de manière brève et impromptue. Même s’il ne clique pas sur ce bouton, les développeurs indiquent que le déclenchement peut être réalisé par un malware, caché dans une image ou une vidéo. Une fois cliqué, les mots de passe peuvent être interceptés et transmis par SMS, ou d’autres moyens, au pirate.
L’alerte s’affiche moins d’une seconde et n’est pas détectée par la plupart des solutions anti-malware. « La vulnérabilité est extrêmement critique », explique Jebara à CSO. « Elle permet à quiconque de voler tous vos mots de passe à distance en téléchargeant simplement un fichier qui n’a pas l’air malveillant, et ne peut pas être détecté par des anti-malwares, car il ne se comporte pas de la façon dont les logiciels malveillants le font habituellement ». Avant d’ajouter : « une vulnérabilité de cette ampleur [si elle était exploitée] aurait des conséquences désastreuses. Vous ne seriez pas en mesure d’ouvrir un fichier tiers sur votre ordinateur sans risquer de perdre toutes vos informations sensibles jusqu’à ce qu’Apple publie un patch ». Les développeurs en font la démonstration dans la vidéo ci-dessous :
Le groupe Apple a été informé de la faille, mais n’a pas répondu aux développeurs de Myki.
Lire aussi :
Des failles zero day sur Mac OS X et iOS ignorées par Apple
Apple corrige automatiquement des failles dans NTP pour Mac OS X
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…