Faille dans “Trousseaux d’accès” de macOS

KeySteal. © Linus Henze.

Le spécialiste en cybersécurité Linus Henze a découvert une faille de sécurité majeure dans l’application Trousseaux d’accès (Keychain Access) sur macOS Mojave, celle qui est justement chargée de protéger tous vos identifiants de connexion et informations sensibles (mots de passe, certificats, notes sécurisées, etc.). Cette faille permet d’accéder à tous les mots de passe sans avoir le mot de passe d’administrateur, ce qui est plutôt inquiétant. De plus, le découvreur explique qu’il n’a aucune intention de dévoiler les détails de la faille à Apple. Il souhaite ainsi exprimer son mécontentement du fait qu’il n’existe pas de « bug bounty », un programme de récompense pour ceux qui découvrent une vulnérabilité, pour macOS alors qu’il en existe un pour iOS. Aussi, il encourage les autres chercheurs à rendre public les problèmes de sécurité découverts afin de faire pression sur Apple pour obtenir un « bug bounty » acceptable pour macOS. « Trouver des vulnérabilités comme celle-ci prend du temps, et je pense que payer les chercheurs est la bonne chose à faire parce que nous aidons Apple à rendre ses produits plus sûrs, » a-t-il déclaré.

⇨ Cult of Mac, “macOS Mojave flaw puts your Keychain passwords at risk.”