Paris-Informatique : 01 83 92 41 68 dépannage informatique à domicile - assistance - installation - maintenance
Paris-Informatique : 01 83 92 41 68

Macos moja

Faille critique sur macOS

Faille critique sur macOS... .

Une faille zero-day a été révélée par un chercheur en sécurité, Linus Henze.
Cette faille concerne le stockage, normalement sécurisé, des mots de passe sur macOS.

Apple ne proposant pas de bug bounty, pour les failles découvertes sur macOS, le chercheur ne veut pas révéler les détails de sa découverte au Géant de Cupertino.

En effet Apple ne propose un programme de récompenses, « bug bounty », que pour les failles détectées sur iOS.
Et encore, faut-il que le chercheur en sécurité qui en découvre une fasse partie de ceux sélectionnés par Apple.

La découverte de Linus Henze ne concernant pas iOS, et l’informaticien n’ayant pas été sélectionné par Apple il ne peut prétendre à une prime du programme de récompenses.
Donc, il révèle le minimum d'informations sur cette faille.

mot de passe compromois sur macos  mojave

Faille zero day sur macOS

Ce « minimum » est malgré tout assez inquiétant pour les utilisateurs du produit d’Apple.

En effet, elle concerne le coffre-fort du système, « Keychain », historiquement le « Trousseaux d’accès » là où sont stockés les mots de passe.
Le défaut de la cuirace permet à n’importe quelle application vérolée installée sur le système d’avoir accès aux codes secrets enregistrés par l’utilisateur.

Les notes sécurisées, la messagerie et autres services Web sont alors sans protection et accessibles à tous les intrus trop curieux.

Comment ? Linus Henze n’est pas très dispendieux de renseignements.
Il suffirait que l’utilisateur télécharge et installe une application vérolée pour que ces mots de passe puissent être compromis.

MacOS Mojave 10.14.3, la dernière mouture du système d’exploitation d’Apple ne serait pas plus protégée que celles précédentes.

Un patch n’est pas prévu dans l’immédiat, Apple devant rechercher les détails techniques. Ceux-ci ne lui ayant pas été communiqué par Linus Henze.

« Tout cela peut donner l’impression que je fais juste ça pour de l’argent, mais ce n’est pas du tout le cas. Ma motivation est d’inciter Apple à créer un programme de bug bounty. Je pense que c’est la meilleure solution pour Apple et pour les chercheurs en sécurité. J’adore les produits Apple et je veux améliorer leur sécurité ». Argumente le chercheur en sécurité.
D’autres chercheurs travaillent donc sur cet épineux problème.

Gageons que quelques pirates professionnels cherchent également à découvrir comment accéder aux codes secrets des utilisateurs de macOS.

Comment se protéger de cette faille ?

Verrouiller manuellement « session » et « Éléments locaux » semblerait être une solution.
Paramétrer un verrouillage automatique après un certain temps d’inactivité ?

L’utilisateur devraient alors entrer le mot de passe maître à chaque fois qu’il veut se connecter à un service ou le mot de passe est requis.
Pas très productif et très contraignant.

 

Définition d'une faille 0-Day

Qu'est-ce qu'uneune faille o-day ou zero-day :
"Dans le domaine de la sécurité informatique, une vulnérabilité zero-day — également orthographiée 0-day — (en français : « jour zéro ») est une vulnérabilité informatique n'ayant fait l'objet d'aucune publication ou n'ayant aucun correctif connu. L'existence d'une telle faille sur un produit informatique implique qu'aucune protection n'existe, qu'elle soit palliative ou définitive.

La terminologie « zero day » ne qualifie pas la gravité de la faille : comme toute vulnérabilité, sa gravité dépend de l'importance des dégâts pouvant être occasionnés, et de l'existence d'un exploit, c'est-à-dire d'une technique « exploitant » cette faille afin de conduire des actions indésirables sur le produit concerné". (Wikipédia).

Web sécurité mac Apple hacker