Le Trousseau d'accès ( Keychain) de Mac OS X souffre actuellement d'une faille qui permettrait à des pirates de récupérer l'intégralité des mots de passe y étant stockés. Ce qui se présente ainsi comme un espace sécurisé permettant de stocker ses accès devient une véritable boite de pandore.
Deux développeurs libanais ont ainsi découvert le bug par hasard, alors qu'ils développaient leur propre logiciel à destination de l'OS, une solution de gestion d'identité baptisée MyKi.
Des pirates pourraient lancer une attaque prenant cette forme : une image contenant des lignes de commandes spécifiques est envoyée à une cible potentielle. Une fois affiché à l'écran, le code se lance et le système hôte donne l'accès aux mots de passe de l'utilisateur sans qu'il n'ait besoin de rentrer son mot de passe principal.
Une démonstration a été faite à l'aide d'un malware développé pour l'occasion. La fenêtre d'alerte qui permet d'autoriser le déverrouillage des mots de passe ne s'affiche que pendant 200 ms et peut ainsi passer totalement inaperçue pour l'utilisateur. Une fois les mots de passe disponibles, ils sont envoyés par SMS au pirate qui peut usurper l'identité de sa cible.
En pratique, cette attaque peut s'intégrer dans n'importe quel logiciel, ce qui rend la faille critique, d'autant qu'aucun logiciel antimalware ne semble en mesure de la détecter. De plus, si l'utilisateur a activé iCloud KeyChain, ses mots de passe iPad et iPhone sont aussi compromis.
Apple a été contacté et informé de ce bug, mais la faille n'a pas encore été corrigée. Le groupe travaille à mettre en place un correctif dans les plus brefs délais.
