macOS High Sierra : mise à jour en urgence après une boulette

Le par  |  11 commentaire(s)
Keychain-Stealer-Wardle

Pour macOS 10.13 High Sierra, Apple livre une mise à jour supplémentaire. Elle corrige deux bugs de sécurité, dont un assez déstabilisant qui rendait en quelque sorte caduc le chiffrement d'un volume APFS ajouté.

L'affichage en clair du mot de passe au lieu du seul indice pour un volume APFS chiffré… c'est une nouveauté macOS High Sierra en plus du système de fichiers lui-même. Même s'il n'était heureusement pas généralisé, cet étonnant bug de sécurité est corrigé par une mise à jour supplémentaire de macOS 10.13.

Permettant à un attaquant local d'accéder au volume chiffré, le gros souci a été découvert par le chercheur en sécurité Matheus Mariano de Leet Tech qui avait alerté Apple à se sujet. Il était en rapport avec l'utilitaire de disque, et pour des ordinateurs Mac avec SSD.

Le problème se manifestait avec l'ajout par l'utilisateur d'un nouveau volume APFS chiffré, et s'il optait pour un indice de mot de passe servant ultérieurement d'aide à retrouver le mot de passe. Sauf que ce n'était pas cet indice qui était affiché, mais le mot de passe en clair.

La mise à jour supplémentaire est en outre également l'occasion pour Apple de corriger la faille affectant macOS et pouvant permettre le vol d'identifiants et mots de passe en clair stockés dans Keychain (Trousseaux d'accès), via une application non signée téléchargée depuis le Web. La vulnérabilité avait été mise au jour par Patrick Wardle de Synack.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1983547
... en clair ?

Faut qu'on m'explique la, comment Apple récupère le mot de passe en clair ? (indépendamment du bug qui fait qu'il soit affiché)


Le #1983552
LinuxUser a écrit :

... en clair ?

Faut qu'on m'explique la, comment Apple récupère le mot de passe en clair ? (indépendamment du bug qui fait qu'il soit affiché)


car Kaspersky est caché dedans ....
Le #1983553
boznake a écrit :

LinuxUser a écrit :

... en clair ?

Faut qu'on m'explique la, comment Apple récupère le mot de passe en clair ? (indépendamment du bug qui fait qu'il soit affiché)


car Kaspersky est caché dedans ....



Le #1983556
LinuxUser a écrit :

... en clair ?

Faut qu'on m'explique la, comment Apple récupère le mot de passe en clair ? (indépendamment du bug qui fait qu'il soit affiché)


Il n'y a aucun dysfonctionnement, c'est Apple, tout est parfait

La preuve, c'est que l'utilisateur peut demander à avoir un indice pour se rappeler du mot de passe, et l'indice, c'est le mot de passe, donc tout marche nickel, pas de soucis
Le #1983561
Ça souffle le chaud et le frois avec les dernières MàJ chez Apple.

Je me mords les doigts d’iOS 11 et les retours sur High Sierra semble moyen. Les volumes en APFS semblent provoquer une baisse de réactivité de l’OS.
Mon MBPr mi-2012 va rester sagement sous Sierra ...
Le #1983563
schlomy a écrit :

LinuxUser a écrit :

... en clair ?

Faut qu'on m'explique la, comment Apple récupère le mot de passe en clair ? (indépendamment du bug qui fait qu'il soit affiché)


C'est une pratique usuelle chez Mac.
Sur un Iphone (5 par exemple), quand tu crées un partage de connexion, la clé que tu crées est affichée en clair (même après sa création).
Bonjour la sécurité !


Quelle clé ?
Le mot de passe pour se connecter sur l’iPhone ?
Le #1983567
"Le problème se manifestait avec l'ajout par l'utilisateur d'un nouveau volume APFS chiffré, et ainsi pas avec ce qui était déjà en place, et s'il optait pour un indice de mot de passe servant ultérieurement pour s'aider à retrouver le mot de passe appliqué. "

...j'avoue que j'en reste sans voix (pas tant sur le problème, que sur l'explication donnée ci-dessus)... WTF?

ce qui se conçoit bien... tout ça...
Le #1983571
schlomy a écrit :

Elbutcher a écrit :

schlomy a écrit :

LinuxUser a écrit :

... en clair ?

Faut qu'on m'explique la, comment Apple récupère le mot de passe en clair ? (indépendamment du bug qui fait qu'il soit affiché)


C'est une pratique usuelle chez Mac.
Sur un Iphone (5 par exemple), quand tu crées un partage de connexion, la clé que tu crées est affichée en clair (même après sa création).
Bonjour la sécurité !


Quelle clé ?
Le mot de passe pour se connecter sur l’iPhone ?


Quand tu crées un partage de connexion (à l(internet), il faut créer une clé (un pass que doit rentrer toute personne qui voudra se connecter à ce partage). Et bien cette clé apparaît en clair sur l'Iphone qui crée la connexion. Et pas seulement à la création mais aussi la configuration terminée.


Oui mais cette clé se trouve dans «Reglages ->Partage de connexion », donc dans les menus de ton iPhone qui, lui, se doit d’être verrouillé à M.Toutlemonde ... Cette clé a été faite pour être changée à la volée.

Là, pour le coup, ils ont fait une belle bourde avec le chiffrement des partitions. Après, on ne peut pas dire que OSX et iOS sont des passoires à mots de passe, faut pas exagerer.

Il m’est déjà arrivé de perdre mon mot de passe iCloud, faut vraiment être titulaire du compte pour valider la procédure de récupération / changement. Au passage, on est alors bien content d’avoir un service client digne de ce nom
Le #1983573
Merci, c'est bien ce qu'il me semblait.

C'est subjectif, mais pour moi un mot de passe ne devrais pas être affiché en clair mais au dela de ce bug, le mot de passe ne devrais pas non plus être récupérable, juste "resettable".

Je pense que seul les hashs des mots de passe (et réponse aux questions secrètes) devraient être stockés.




Le #1983643
Elbutcher a écrit :

Ça souffle le chaud et le frois avec les dernières MàJ chez Apple.

Je me mords les doigts d’iOS 11 et les retours sur High Sierra semble moyen. Les volumes en APFS semblent provoquer une baisse de réactivité de l’OS.
Mon MBPr mi-2012 va rester sagement sous Sierra ...


Mon Macbook 2012 fonctionne très bien avec High Sierra.
Suivre les commentaires
Poster un commentaire
Anonyme