Peu importe que vous utilisiez iOS ou OS X, vos mots de passe sont en danger s’ils sont stockés dans le trousseau d’Apple.
Des chercheurs universitaires ont découvert une énorme faille de sécurité chez Apple, une faille suffisamment importante pour que la marque à la pomme n’ait pas encore réussi à la corrigé alors qu’elle a été signalée au mois d’octobre dernier. Pour causse, elle touche le mécanisme censé protéger les mots de passe : le trousseau.
L’idée du trousseau est simple : centraliser les identifiants et mots de passe pour que l’utilisateur n’ait pas à les ressaisir. Le problème, c’est que des chercheurs universitaires ont découvert toute une série de failles de sécurité.
Alors que le bac à sable est censé isoler les données pour qu’elles soient protégées, les chercheurs sont parvenus à percer le mécanisme.
Ils ont aussi créé un malware capable d’afficher tous les mots de passe de l’Apple’s Keychain, c’est-à-dire ceux stocker dans le trousseau, ce qui expose tous les identifiants utilisés par les applications tierces : Facebook, Twitter, iCloud, Gmail, etc.
« Nous sommes parvenus à pirater tout le service Keychain, où Apple stocke les mots de passe et les autres paramètres de ses applis ainsi que les sandbox containers’ dans OS X », explique Luyi Xing, responsable de cette recherche. « Nous avons découvert de nouvelles faiblesses dans les mécanismes de communication entre applis au sein d’OS X et d’iOS, qui pourraient être exploitées pour dérober des données confidentielles d’Evernote, Facebook et d’autres applis largement utilisées. »
Pour l’heure, le problème est énoncé, mais aucune solution n’est pour le moment encore disponible, le problème subsiste dans les versions actuelles d’iOS et d’OS X.