Si vous êtes sous Mac OS X Yosemite (10.10) et utilisez les logiciels de Mozilla, une mise à jour est vivement recommandée, ainsi qu'un nettoyage de votre dossier temporaire. Jusqu'à la semaine dernière, toutes vos saisies au clavier y étaient en effet enregistrées.

L'information est passée relativement inaperçue, alors qu'il faut fortement encourager les utilisateurs à mettre à jour Firefox et Thunderbird sous Mac, et à supprimer les données temporaires stockées dans le dossier /tmp. Mozilla a en effet révélé la semaine dernière que le chercheur en sécurité Kent Howard avait découvert un bug critique sous Mac OS X 10.10 (Yosemite), qui fait que l'ensemble des saisies au clavier sur le navigateur ou dans le logiciel de messagerie était enregistré et conservé dans le dossier /tmp.

Potentiellement, quiconque met la main sur ce dossier peut donc accéder à l'ensemble de l'historique des saisies, et découvrir par exemple des mots de passe, des courriels confidentiels qui apparaissent en clair avant toute opération de chiffrage, les URL saisies, les recherches effectuées, etc.

Selon Mozilla, le bug aurait été provoqué par une modification apportée par Apple au fonctionnement de son framework Core Graphics, qui gère l'affichage des fenêtres en 2D. Pour des raisons qui nous échappent mais sans doute très utiles pour certains développeurs, Apple proposait depuis OS X 10.6 de logger l'ensemble des saisies (clics, clavier…), mais la fonctionnalité était jusqu'alors toujours désactivée par défaut. Or, "dans OS X 10.10, cette journalisation était activée par défaut pour quelques applications qui utilisent un allocateur mémoire particulier, tel que jemalloc, à cause d'un bug d'initialisation dans le framework", raconte Mozilla, qui n'accuse pas Apple de la moindre faute. En tout cas pas explicitement.

Le bug a été corrigé de son côté par Mozilla, qui a ajouté dans le code de Firefox et Thunderbird un ordre explicite à Core Graphics de ne pas logger les saisies au clavier des utilisateurs. Les utilisateurs qui ont fait la mise à jour sont simplement invités à supprimer tout fichier commençant par CGLog_ dans le dossier /tmp, tel que CGLog_firefox.

D'autres logiciels que ceux de Mozilla sont probablement concernés par le même problème.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.