Le mois dernier, un hacker se présentant sous le nom de Linus Henze a publié une vidéo (preuve de concept) concernant une vulnérabilité non corrigée affectant Keychain (Trousseaux d'accès). Son exploit 0day baptisé KeySteal lui permet d'extraire tous les mots de passe dans le trousseau d'accès (en local) sur macOS Mojave.
Le jeune Allemand de 18 ans avait décidé de ne pas partager les détails techniques de sa trouvaille avec Apple, reprochant à la firme de Cupertino de ne pas proposer un programme de bug bounty pour macOS. Il existe un tel programme pour iOS, bien que uniquement sur invitation.
À Forbes, il avait déclaré : " C'est comme s'ils ne s'intéressaient pas vraiment à macOS. […] Trouver des vulnérabilités comme celle-ci prend du temps, et je pense simplement que payer les chercheurs en sécurité est la bonne chose à faire parce que nous aidons Apple à rendre leur produit plus sécurisé. "
En guise de protection, Linus Henze avait conseillé de verrouiller manuellement le trousseau d'accès ou de configurer un mot de passe spécifique. Il est néanmoins revenu sur sa décision de ne pas divulguer les détails techniques à Apple.
I’ve decided to submit my keychain exploit to @Apple, even though they did not react, as it is very critical and because the security of macOS users is important to me. I’ve sent them the full details including a patch. For free of course.
— Linus Henze (@LinusHenze) 28 février 2019
" J'ai décidé de soumettre mon exploit Keychain à Apple, même s'ils n'ont pas réagi, car c'est très critique et parce que la sécurité des utilisateurs de macOS est importante pour moi. Je leur ai envoyé les détails techniques complets, y compris un patch. "
Linus Henze souligne que cette divulgation auprès d'Apple est faite gratuitement. Son geste a été largement salué sur Twitter. Apple dispose donc du nécessaire pour la publication prochaine d'un correctif.
