Apple – Des failles critiques identifiées dans Mac OS X et iOS

0

Des universitaires ont révélé l’existence de multiples vulnérabilités critiques touchant Mac OS X et iOS, permettant de contourner la sécurité de l’application keychain, des sandbox des programmes ou encore les mesures de sécurité sur l’App Store. Les mots de passe sont aussi vulnérables. Apple a été prévenu il y a plus de six mois, mais rien n’a été fait pour patcher…

Apple ne fait visiblement pas attention à la sécurité de ses utilisateurs, preuve étant, cette nouvelle révélation qui a de quoi inquiéter. Des universitaires provenant de plusieurs établissements aux États-Unis et en Chine ont publié ces jours-ci les résultats (PDF) de leurs recherches sur la sécurité au sein de Mac OS X et iOS. Leurs conclusions révèlent l’existence de vulnérabilités préoccupantes dans les deux deux systèmes d’exploitation conçus par la firme de Cupertino. Interrogés par The Register, les auteurs expliquent qu’ils avaient connaissance de ces brèches depuis plus de six mois mais qu’ils ont tenu à respecter la procédure de divulgation responsable mise en place par Apple. Celle-ci demande aux chercheurs en sécurité informatique de laisser une période de six mois aux équipes du groupe américain pour résoudre les failles qui lui sont signalées.

Bien entendu, une fois ce délai passé, la publication des détails de leurs travaux n’est alors plus censée poser problème puisque les faiblesses détectées dans iOS et Mac OS X sont en théorie corrigées. Or, il s’avère que celles-ci sont toujours présentes dans les logiciels du groupe américain. Par conséquent, avec la diffusion de l’article scientifique, il y a maintenant un risque qu’elles soient exploitées de façon malveillante.

Apple a été alerté en octobre 2014 et a alors demandé un délai pour réfléchir à une solution. En outre, les universitaires font remarquer que des précisions leur ont été demandées en février dernier, signe d’une reconnaissance implicite par la société de la gravité des découvertes réalisées par les chercheurs. Mais toujours pas de patch à ce jour…

A noter que l’exploitation de ces failles de sécurité pourraient permettre à des cybercriminels de contourner les protections du gestionnaire de mots de passe développé par Apple (Keychain), de casser le mode sandbox des applications et d’éviter les procédures de contrôle lors de la mise en ligne d’un fichier sur l’App Store. En uploadant un logiciel malveillant sur l’App Store, les auteurs ont ensuite pu viser des systèmes iOS et Mac OS X.

Ces brèches permettent aussi d’obtenir des accès à des données sensibles figurant dans d’autres applications, comme les mots de passe enregistrés dans Google Chrome ou encore les mots de passe et les jetons d’authentification pour iCloud et Mail. En tout, 88,6 % des applications testées (1612 sur Mac et 200 sur iOS) sont vulnérables à différents degrés, comme Facebook, WeChat ou Evernote.

Ces failles, nommée Cross App Ressources attacks (Ou XARA) par les chercheurs, exploitent des vulnérabilités présentes dans la façon dont les applications partagent et accèdent aux ressources utilisées par d’autres applications. Des sandbox sont censées isoler les ressources d’une application du reste des applications présentes sur la machine, mais les résultats obtenus par ces chercheurs montrent que ces mesures de sécurité sont contournables.

 

Source : Numerama

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.