Des universitaires ont révélé l'existence de vulnérabilités particulièrement graves dans Mac OS X et iOS, qui permettent d'accéder à des informations sensibles figurant dans d'autres applications, comme des mots de passe. Apple a été prévenu il y a maintenant plus de six mois, mais les brèches n'ont toujours pas été comblées.

C'est un problème sur lequel Apple va devoir se pencher en urgence. Des universitaires provenant de plusieurs établissements aux États-Unis et en Chine ont publié ces jours-ci les résultats (.pdf) de leurs recherches sur la sécurité au sein de Mac OS X et iOS. Leurs conclusions révèlent l'existence de vulnérabilités préoccupantes dans les deux deux systèmes d'exploitation conçus par la firme de Cupertino.

Interrogés par The Register, les auteurs expliquent qu'ils avaient connaissance de ces brèches depuis plus de six mois mais qu'ils ont tenu à respecter la procédure de divulgation responsable mise en place par Apple. Celle-ci demande aux chercheurs en sécurité informatique de laisser une période de six mois aux équipes du groupe américain pour résoudre les failles qui lui sont signalées.

Une fois ce délai passé, la publication des détails de leurs travaux n'est alors plus censée poser problème puisque les faiblesses détectées dans iOS et Mac OS X sont en théorie corrigées. Or, il s'avère que celles-ci sont toujours présentes dans les logiciels du groupe américain. Par conséquent, avec la diffusion de l'article scientifique, il y a maintenant un risque qu'elles soient exploitées de façon malveillante.

Apple est pourtant au courant de ce problème. L'entreprise a été alertée en octobre 2014 et a alors demandé un délai pour réfléchir à une solution. En outre, les universitaires font remarquer que des précisions leur ont été demandées en février dernier, signe d'une reconnaissance implicite par la société de la gravité des découvertes réalisées par les chercheurs.

Que permettent ces brèches ?

Celles-ci permettent de contourner les protections du gestionnaire de mots de passe développé par Apple (Keychain), de casser le mode "bac à sable" (sandbox) des applications et d'éviter les procédures de contrôle lors de la mise en ligne d'un fichier sur l'App Store. Et c'est en téléversant un logiciel malveillant sur l'App Store que les auteurs ont ensuite pu viser des systèmes iOS et Mac OS X.

Ces brèches permettent d'obtenir des accès à des données sensibles figurant dans d'autres applications, comme les mots de passe enregistrés dans Google Chrome ou encore les mots de passe et les jetons d'authentification pour iCloud et Mail. En tout, 88,6 % des applications testées (1612 sur Mac et 200 sur iOS) sont vulnérables à différents degrés, comme Facebook, WeChat ou Evernote.

Partager sur les réseaux sociaux

Plus de vidéos