macOS High Sierra possède une vulnérabilité qui permet aux applications d’accéder aux mots de passe plaintext (c’est-à-dire non cryptés) enregistrés dans Keychain.
Une application créée par le directeur de recherche Patrick Wardle de Synack, a été capable de détecter une vulnérabilité de Keychain pour accéder aux mots de passe plaintext, comme ceux de Facebook, de votre Banque…
L’entreprise ne se servira pas de sa trouvaille à des fins malicieuses, mais cela laisse suggérer que des développeurs moins sérieux puissent profiter de la faille de sécurité pour voler les mots de passe de leurs utilisateurs.
Une faille permet aux apps non signées d’accéder à Keychain
Cependant, pour qu’ils puissent en arriver là, ils devront réussir à passer plusieurs alertes explicites envoyées par macOS à l’utilisateur. En effet, il faudra tout d’abord télécharger, installer et lancer l’application malicieuse tout en faisant outre les messages d’alertes de l’OS sur la sur-écriture des paramètres de sécurité et le fait que cette application n’est pas signée/certifiée par Apple.
Via AppleInsider
Un commentaire
La faille n’est pas spécifique à High Sierra, la plupart des versions d’OS X le sont, si ce n’est toutes..