Discussion :

[Stéphane le calme]

Un exploit zero-day dans la dernière version de macOS permet à un attaquant de subtiliser les mots de passe
sauvegardés sur Keychain

Patrick Wardle, chercheur en sécurité pour le compte de Synack qui a apparemment travaillé pour NSA, a publié des informations sur des failles de type zero-day affectant le système d’exploitation macOS High Sierra quelques heures seulement avant le déploiement de la version stable. Le défaut de sécurité affecte la nouvelle fonctionnalité SKEL (Secure Kernel Extension Loading) du système d'exploitation, conçu pour exiger des utilisateurs qu'ils autorisent le chargement de toute nouvelle extension de noyau tiers.

« L'objectif principal (de sécurité) de SKEL est de bloquer le chargement des kexts (Kernel Extension) légitime, mais dont les vulnérabilités sont connues. Jusqu'à ce qu’Apple mette sur liste noire ces kexts via le dictionnaire OSKextExcludeList (dans AppleKextExcludeList.kext / Contents / Info.plist), les attaquants peuvent simplement charger ces fichiers kexts, puis les exploiter pour obtenir une exécution de code arbitraire dans le contexte du noyau », a déclaré Patrick Wardle dans son rapport détaillé.

À l’aide de cet exploit, qui affecte également les anciennes versions de macOS, un attaquant pourrait voler tous vos mots de passe stockés dans le gestionnaire de mots de passe Keychain de Mac en utilisant une application non signée que vous pouvez télécharger et installer à partir du Web.

Comme le font d’autres gestionnaires de mots de passe, Keychain nécessite un mot de passe principal pour permettre aux utilisateurs d’avoir accès. Pourtant, grâce à cet exploit, il n’est même plus nécessaire pour accéder à vos mots de passe stockés qui seront alors visibles en texte clair.

Pour montrer combien il est facile d’avoir accès à ce coffre-fort de mots de passe, il a fait une démonstration vidéo dans laquelle il a créé une application « keychainStealer ». Selon cette démo, il est possible pour un attaquant de récupérer des mots de passe associés à des sites Web, des services et des numéros de carte de crédit lorsqu'un utilisateur est connecté.

L’exploit peut être embarqué dans une application qui semble légitime ou envoyé via courriel.

Il a signalé le bogue à Apple plus tôt ce mois-ci, « mais malheureusement, le patch n'a pas pu être diffusé sur High Sierra », a-t-il déclaré. Apple travaille donc déjà sur un correctif qui sera certainement disponible dans une prochaine mise à jour.

« En tant qu'utilisateur passionné de Mac, je suis constamment déçu de la sécurité de macOS » , a-t-il déclaré. « Je ne veux pas dire que cela soit pris de façon personnelle par quelqu'un chez Apple, mais chaque fois que je regarde macOS de la mauvaise façon il y a quelque chose qui ne va pas. Je pense que les utilisateurs doivent être conscients des risques qui existent sur la plateforme. »

« L’équipe marketing d'Apple a fait un excellent travail pour convaincre les gens que macOS est sécurisé et je pense que c'est plutôt irresponsable et cela conduit à des problèmes où les utilisateurs de Mac sont trop confiants et donc plus vulnérables », a-t-il ajouté.
« macOS est conçu pour être sécurisé par défaut, et Gatekeeper avertit les utilisateurs lorsqu’ils tentent d'installer des applications non signées, comme celle illustrée dans cette preuve de concept, et les empêche de lancer l'application sans approbation explicite. Nous encourageons les utilisateurs à télécharger des logiciels uniquement à partir de sources fiables comme le Mac App Store, et d'accorder une attention particulière aux boîtes de dialogues de sécurité que macOS présente », a déclaré Apple dans un communiqué.

Source : démo de l'exploit, déclaration d'Apple

Mise à jour du 6/10/2017 : Apple publie une mise à jour pour corriger une faille sur macOS High Sierra

Apple a corrigé deux vulnérabilités dans son système d'exploitation macOS dont l’une pouvait permettre à un attaquant de subtiliser des mots de passe sauvegardés sur Keychain. La société a crédité Patrick Wardle, directeur de la recherche chez Synack, pour avoir trouvé cette faille dans le gestionnaire de mots de passe.

La seconde faille qui a été colmatée permet à un attaquant d’avoir accès à un volume d'APF crypté. Apple a crédité Matheus Mariano de Leet Tech pour cette découverte.

Source : Apple

[Namica]

Patrick Wardle est actuellement directeur de la recherche chez Synack. Cette dernière est active dans le domaine de la sécurité des réseaux et des applications des entreprises. L’expérience de Wardle relève de la cybersécurité et il détient plusieurs brevets à ce propos ainsi qu’en matière de cryptographie. Ses emplois précédents sont (anciens vers récents)*:

• Vulnerability Research Labs
• NASA
• National Security Agency (NSA)

« En tant qu'utilisateur passionné de Mac, je suis constamment déçu de la sécurité de macOS » , a-t-il déclaré. « Je ne veux pas dire que cela soit pris de façon personnelle par quelqu'un chez Apple, mais chaque fois que je regarde macOS de la mauvaise façon il y a quelque chose qui ne va pas. Je pense que les utilisateurs doivent être conscients des risques qui existent sur la plateforme. »

source : http://mashable.france24.com/tech-bu...os-apple-virus
Version originale sur*: http://mashable.com/2017/07/24/mac-m...l#IjmPaP7Q2mqO

Un malware a infecté des Mac durant des années et on ne s'en rend compte que maintenant
…
Votre Mac n'est pas sécurisé, en tout cas pas autant que vous le pensiez.
…
Patrick Wardle a réalisé qu'avec le malware, il pouvait allumer à distance les*caméras et micros de la machine, prendre le contrôle de la souris, modifier les fichiers, et était même notifié par le malware quand le propriétaire de l'ordinateur était en train de l'utiliser
…
D'habitude, on voit ça dans des logiciels gouvernementaux ou d'État-nation", observe Patrick Wardle, qui travaillait auparavant pour la NSA.
...
Patrick Wardle ajoute que les Mac sont plus faciles à pirater que les dernières versions de Windows – une déclaration qui ne le rendra pas populaire dans la communauté des Apple addicts…

Je ne suis pas un fanboy d’Apple, mais habituellement le discours classique concernant la pomme à trait à la sécurité. Venant d’une personnalité de cet acabit, son affirmation me cloue et je ne suis pas au niveau de ce monsieur pour le critiquer. Toutes ses interventions et conférences sont saluées.

… comment a-t-on pu ne se rendre compte de rien pendant si longtemps ? D'après l'expert, c'est la faute des Mac. "Le système de sécurité des Mac n'est pas si bon", note-t-il avant d'expliquer que si les Mac sont bien pensés pour repérer des menaces connues, ils le sont moins quand il s'agit d'en identifier de nouvelles. Rappel amer que même que les propriétaires de Mac devraient se doter d'un cache pour webcam...

Car en effet*:

Patrick Wardle a réalisé qu'avec le malware, il pouvait allumer à distance les*caméras et micros de la machine, prendre le contrôle de la souris, modifier les fichiers, et était même notifié par le malware quand le propriétaire de l'ordinateur était en train de l'utiliser.

Et merde, qu’on ne vienne plus me parler de la soit-disant sécurité de la pomme. C’est du vent de marketeux et de fanboys. La liste des autres failles détectées par Wardle est plutôt longue et édifiante.

En outre cette communication/image de Apple a un effet néfaste selon Wardle (trop fatigué pour mettre la référence)*: il affaiblit le niveau de vigilance de l’utilisateur. Surtout des fanboys. Et comme toujours entre la chaise et le clavier …

Votre sécurité, que ce soit avec Mac, Windows, Linux, vous devez la construire vous-même

• contrôler qui s’assied devant vos claviers
• qui branche quoi comme périphérique (clé USB, CD/clé de boot, …), périph wifi/bluetooth...
• et leur laisser uniquement les droits pour lesquels ils sont autorisés.

N’est-ce pas élémentaire*?
En dehors de l'Attrape-Store, point de salut.