Apple : découverte d’une faille critique sur les OS X et iOS

Des chercheurs ont découvert une faille critique dans le Trousseau d'OS X et iOS, laquelle permettrait ainsi à des personnes malintentionnées de voler des mots de passe utilisateur. Le risque est jugé élevé pour cette faille critique.

En octobre dernier, des chercheurs œuvrant dans les universités d’Indiana, de Géorgie et de Peking avaient averti Apple de la présence d’une faille dans le Trousseau d’OS X, d’ailleurs également présent dans iOS. Et par le développement d’un malware capable notamment de dérober les mots de passe de l’utilisateur via ces brèches, ces chercheurs ont pu confirmer le risque élevé représenté par ces dernières.

La manœuvre utilisée pour parvenir à ce résultat malfaisant (appelée XARA – Cross-app Ressource Access – par les chercheurs) nous est décrite par Next INpact : un pirate s’introduit dans la faille susmentionnée pour aller perturber le mécanisme contrôlant l’accès au Trousseau. De ce fait, il devient capable d’intercepter des informations transitant entre ce Trousseau et des sites ou applications requérant son accès.

Faille critique dans le Trousseau d’OS X : mots de passe en danger

Quant au malware mis au point par les chercheurs, il a été inséré dans une application qui a ensuite été validée pour apparaître sur l’App Store. À partir de là, il a été relativement aisé pour les chercheurs et leur fausse application de voler des mots de passe Facebook, Twitter ou iCloud, pour ne citer qu’eux.

Apple au courant depuis octobre

Toujours selon l’équipe à l’origine de cette découverte, la firme à la pomme croquée n’aurait pas tardé à prendre conscience de la gravité de la situation. Malgré tout, invoquant un important délai pour corriger le problème (six mois), Apple a demandé aux chercheurs de retarder la publication de leurs résultats. Seulement, ceux-ci ont constaté dans la mise à jour 10.10.3 de Yosemite et sur la bêta de la 10.10.4 que l’exploitation de la faille était toujours possible. En attendant un attendu futur correctif d’Apple, il est recommandé aux utilisateurs d’OS X et d’iOS de se montrer particulièrement vigilants quant à leurs applications déjà installées ainsi qu’à celles qu’ils seraient tentés de télécharger.