MacOS a une nouvelle vulnérabilité sérieuse qui laisse essentiellement les mots de passe de votre ordinateur ouverts pour être volés par des pirates. Son nom : KeySteal.
Ici vous pouvez le voir en action :
Signalée pour la première fois par la publication technologique Heise Online, la vulnérabilité ouvre une porte pour voler tous les mots de passe dans le trousseau « identifiant » et « Système » de votre Mac, ce qui vous laisse largement ouvert aux attaques même si vous disposez de mesures de sécurité telles que les listes de contrôle d'accès et la protection de l'intégrité du système. en utilisant la dernière puce de sécurité T2 d'Apple.
L'exploit KeySteal a été découvert et annoncé par le chercheur en sécurité Linus Henze, un fan auto-déclaré de macOS et iOS qui a déjà découvert d'autres vulnérabilités. Il est également membre de Sauercloud, une équipe allemande de sécurité informatique qui participe aux compétitions de piratage Capture The Flag. Autrement dit : son exploit n'est probablement pas inventé, mais bien réel.
La seule façon de protéger le trousseau de votre ordinateur est de verrouiller le trousseau de connexion avec un mot de passe supplémentaire, ce qui obligera macOS à vous demander ce mot de passe chaque fois que vous essayez de faire presque n'importe quoi avec votre ordinateur.
Heureusement, le trousseau iCloud n'est pas affecté. Il n'y a pas encore de nouvelles d'Apple reconnaissant ce problème, mais nous les avons contactés et nous mettons à jour cet article avec tout ce qu'ils disent.
Il s'agit de la deuxième grande brèche dans la sécurité de macOS Keychain, qui a déjà subi une autre vulnérabilité grave en septembre 2022-2023. Cette ouverture a été fermée par Apple, mais celle-ci ne l'a pas encore été - et il se peut qu'elle ne soit pas corrigée avant un certain temps.
La raison : Henze proteste contre le manque de primes de sécurité d'Apple pour macOS. Alors qu'Apple offre des récompenses aux personnes qui trouvent des vulnérabilités de piratage dans iOS, il n'offre pas le même programme pour les ordinateurs macOS. Henze pense que c'est stupide et injuste - sans parler du manque d'engagement sérieux d'Apple envers la sécurité de leur système d'exploitation informatique - et a donc décidé de ne pas partager la procédure de bogue, appelant les autres à faire de même.
La mise en place de programmes de primes pour les failles de sécurité est une pratique courante dans l'industrie informatique, car elle favorise une sécurité accrue, donnant à de nombreuses personnes intelligentes une raison d'investir leur temps à trouver des problèmes. Même la Tesla d'Elon Musk a mis en place un tel programme pour augmenter la sécurité de ses voitures électriques connectées à Internet.
Cet article est apparu à l'origine sur Tom's Guide.
- Bug d'espionnage Apple FaceTime : ce que vous devez savoir
- Meilleur gestionnaire de mots de passe - Lastpass contre Dashlane contre 1Password
- Devriez-vous utiliser un gestionnaire de mots de passe ?