Après avoir averti Apple il y a plus de six mois, une équipe de chercheurs en sécurité informatique a publié ses travaux révélant l’existence de vulnérabilités critiques touchant à la fois Mac OS X et iOS. La firme à la pomme n’a pour le moment pas encore diffusé de correctif.

au sommaire

    C'est un problème sur lequel AppleApple va devoir se pencher en urgence. Des universitaires provenant de plusieurs établissements aux États-Unis et en Chine ont publié ces jours-ci les résultats (.pdf) de leurs recherches sur la sécurité au sein de Mac OS X et iOSiOS. Leurs conclusions révèlent l'existence de vulnérabilités préoccupantes dans les deux systèmes d'exploitation conçus par la firme de Cupertino.

    Interrogés par The Register, les auteurs expliquent qu'ils avaient connaissance de ces brèches depuis plus de six mois mais qu'ils ont tenu à respecter la procédure de divulgation responsable mise en place par Apple. Celle-ci demande aux chercheurs en sécurité informatique de laisser une période de six mois aux équipes du groupe américain pour résoudre les failles qui lui sont signalées.

    Une fois ce délai passé, la publication des détails de leurs travaux n'est alors plus censée poser problème puisque les faiblesses détectées dans iOS et Mac OS X sont en théorie corrigées. Or, il s'avère que celles-ci sont toujours présentes dans les logiciels d'Apple. Par conséquent, avec la diffusiondiffusion de l'article scientifique, il y a maintenant un risque qu'elles soient exploitées de façon malveillante.

    Apple est pourtant au courant de ce problème. L'entreprise a été alertée en octobre 2014 et a alors demandé un délai pour réfléchir à une solution. En outre, les universitaires font remarquer que des précisions leur ont été demandées en février dernier, signe d'une reconnaissance implicite par la société de la gravitégravité des découvertes réalisées par les chercheurs.


    Dans cette démonstration vidéo, une application malveillante installée sur Mac OS X 10.10 Yosemite parvient à dérober les jetons d’authentification pour le service iCloud dans le gestionnaire de mots de passe Apple Keychain. © Luyi Xing, YouTube

    88,6 % des applications testées sont vulnérables

    Celles-ci permettent de contourner les protections du gestionnaire de mots de passe développé par Apple (Keychain), de casser le mode « bac à sablesable » (sandbox) des applicationsapplications et d'éviter les procédures de contrôle lors de la mise en ligne d'un fichier sur l'App StoreStore. Et c'est en téléversant un logiciel malveillantlogiciel malveillant sur l'App Store que les auteurs ont ensuite pu viser des systèmes iOS et Mac OS X.

    Ces brèches permettent d'obtenir des accès à des données sensibles figurant dans d'autres applications, comme les mots de passe enregistrés dans Google Chrome ou encore les mots de passe et les jetons d'authentificationauthentification pour iCloud et Mail. En tout, 88,6 % des applications testées (1.612 sur Mac et 200 sur iOS) sont vulnérables à différents degrés, comme FacebookFacebook, WeChat ou Evernote.