Hints don’t lie : macOS High Sierra corrige des failles permettant l’accès aux mots de passe

Apple a corrigé deux failles affectant le gestionnaire des mots de passe dans la dernière version de macOS, la version High Sierra sortie le 25 septembre. Ces failles de sécurité ont été démontrées par un chercheur de la société Synack, Patrick Wardle, a ainsi publié un rapport ainsi qu’une vidéo de démonstration montrant la façon dont il pouvait se servir d’une application non signée afin de récupérer les mots de passe contenus au sein de keychain, sans connaître le mot de passe maître de l’utilisateur.

La technique s’appuie sur une faille au sein du composant SKEL (Secure Kernel Extension Loading). Comme le démontre Patrick Wardle, les attaquants peuvent exploiter une faille de ce système pour forcer l’exécution d’extension kernel contenant des failles connues, puis ensuite les exploiter afin de mener des attaques contre la machine. L’attaque démontrée par le chercheur dans une vidéo Vimeo vise Keychain, le gestionnaire de mots de passe d’Apple. Celui-ci est censé stocker sous forme chiffrée l’ensemble des mots de passe de l’utilisateur protégés par un mot de passe maître. Mais en utilisant une application non signée et l’exploit en question, le chercheur parvient à accéder aux mots de passe en clair contenus dans la keychain.

Steal y0 (macOS) Keychain from patrick wardle on Vimeo.

En cas d’application non signée, la fonctionnalité Gatekeeper vient afficher un avertissement à l’intention de l’utilisateur. Difficile donc de compter sur la crédulité de celui-ci pour le pousser à télécharger une application malveillante afin de voler ses mots de passe, mais la faille reste sérieuse et Apple corrigé la faille signalée par Patrick Wardle.


L’éditeur en a profité pour corriger une seconde faille affectant cette fois-ci la gestion des mots de passe de volumes chiffrés APFS. Cette nouvelle faille, découverte par le chercheur brésilien Matheus Mariano, était encore plus simple : sur l’invite permettant d’entrer le mot de passe d’accès au disque chiffré, il suffisait de demander à obtenir l’indice permettant de se souvenir du mot de passe. Suite à un bug et dans le cas d’un disque créé via l’utilitaire de disque, c’était en réalité le mot de passe en clair qui s’affichait en lieu et place de l’indice. Une bévue embarrassante quand on se targue de mettre la sécurité au cœur de son développement.


Les failles ont été corrigées dans un patch publié par Apple. Un guide a également été mis à la disposition des utilisateurs qui rencontrent le problème de mot de passe affiché par les volumes chiffrés, afin de recréer des volumes sécurisés et dépourvus de cette faille.

ZDNet