Avec les mises à jour iOS 13, Apple ne traîne pas et fait preuve de réactivité pour corriger des bugs et failles. Ce n'est manifestement pas le cas avec macOS et avec le domaine pourtant sensible du respect de la confidentialité si souvent mis en avant par Apple.

Dans un billet blog publié la semaine dernière sur Medium, Bob Gendler a expliqué avoir découvert que si des utilisateurs de macOS configurent l'application Mail pour l'envoi et la réception d'emails chiffrés, une version en clair des emails demeure disponible dans une base de données.

Cette collecte en clair sur le disque de l'ordinateur Mac est en lien avec Siri et dans un dossier des suggestions avec un fichier snippets.db. " Il s'agit de bases de données contenant des informations provenant d'Apple Mail et d'autres applications qui permettent à macOS et Siri d'améliorer leur capacité à faire des suggestions. "

macos-catalina-mail-base-donnees-sans-chiffrement
Un utilisateur n'a pas besoin d'une clé privée pour accéder aux fichiers et la désactivation de Siri ne bouche pas la faille. Bob Gendler détaille dans son billet trois moyens pour l'atténuation de la vulnérabilité.

Le souci a été rapporté à Apple fin juillet et affecte macOS Catalina, Mojave, High Sierra et Sierra. Il a été reconnu par Apple, mais demeure sans correctif à ce jour. Selon The Verge, le patch d'Apple est attendu dans une prochaine mise à jour. Apple souligne que seulement des parties des emails sont stockées.

À noter que la vulnérabilité suppose qu'il n'y a pas de recours à FileVault pour le chiffrement du disque entier.