Une nouvelle faille de sécurité a été découverte au sein de macOS. Dans un billet de blog daté du 21 septembre 2021, le site spécialisé dans la cybersécurité SSD Disclosure détaille comment un simple fichier de raccourcis web peut permettre d’exécuter du code à distance sur un Mac.
La faille se situe au cœur du système, puisque c’est le Finder (l’explorateur de fichier de macOS), lui-même, qui est touché. Il semble que toutes les versions de macOS soient concernées, même la mouture la plus récente (macOS Big Sur 11.6). Nous avons effectivement pu la reproduire sur un ordinateur parfaitement à jour.
D’où vient la faille de sécurité ?
La faille n’est pas terriblement compliquée à exploiter. Il suffit qu’une victime ouvre un simple fichier .inetloc pour qu’un pirate puisse prendre le contrôle de sa machine. Les fichiers .inetloc sont normalement des raccourcis vers un serveur web, ou vers une machine présente sur le réseau local. Mais avec un peu de connaissance en développement, il est possible de placer des commandes système au sein de ce petit fichier. Commandes qui seront silencieusement exécutées, sans même que le ou la propriétaire de la machine ne s’en rende compte.
Nous avons pu tester la faille sur une version de macOS parfaitement mise à jour
Source : Capture d'écran
Dans l’exemple fourni par SSD Disclosure, il est possible d’ouvrir l’application Calculatrice en double-cliquant simplement sur un fichier .inetloc. Ce script est parfaitement bénin, mais prouve qu’une commande peut être cachée dans un fichier en apparence inoffensif. Nous avons pu, avec deux trois modifications, lancer un émulateur de terminal et exécuter des commandes. Il suffit de pointer vers une ressource locale (présente sur le disque dur de l’ordinateur) avec le préfixe « File:// » pour accéder au contenu de l’ordinateur.
N’exécutez pas de fichier .inetloc
Prévenu une première fois par celui qui a découvert la faille, Apple a déployé un correctif de sécurité qui ne va malheureusement pas assez loin. Le patch mis à disposition par Apple bloque l’exécution de code à distance avec le préfixe « file:// », mais ne prend pas en compte la casse typographique. Cela signifie que des variants comme « FiLe:// » ou « filE:// » fonctionnent toujours.
D’après SSD Disclosure, même ouvrir un fichier de ce type présent dans la pièce jointe d’un mail peut infecter votre ordinateur. Jusqu’à que cette faille soit colmatée (ce qui, on espère, ne prendra pas trop longtemps vu la simplicité du problème), la meilleure chose à faire est donc d’être très prudent quand vous téléchargez des fichiers de ce type. Plus généralement, n’ouvrez pas des fichiers venant de sources inconnues, vous vous éviterez des ennuis.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
