Si vous êtes utilisateur OS X ou iOS vous n’avez pas pu passer à côté de l’application trousseau d’accès qui permet à chaque utilisateur d’enregistrer ses identifiants de manière sécurisée pour ne plus avoir à les saisir une nouvelle fois. Eh bien, il semblerait que le système ne soit pas aussi fiable que ce que nous pensions puisque des chercheurs issus de trois universités ont trouvé une faille critique permettant d’accéder à ces mots de passe.
Si le système de séparation logique des données (Safari ne peut pas accéder aux mots de passe de Chrome par exemple) paraissait intéressant sur le papier, il semble désormais désuet. Les chercheurs expliquent avoir mis au point un petit programme qui arrive à capter les communications entre le trousseau d’accès et l’application ayant besoin des informations. Pour le moment, ce n’est possible que lorsque l’application envoie les informations à sauvegarder au trousseau.
Cela fonctionne tellement bien que les chercheurs ont installé un malware dans une application distribuée directement par l’App Store. Ils se sont rendus compte que cela fonctionnait très bien et que des mots de passe provenant de Facebook, Twitter et autres sites / applications étaient bien récupérés.
Une démo précise existe ici :
Bien évidemment et comme c’est souvent le cas, les chercheurs ont contacté Apple pour leur soumettre leur trouvaille en Octobre dernier. A ce jour, rien n’a été fait pour corriger la faille malgré la demande d’Apple de lui laisser 6 mois avant de divulguer les informations de cette faille.
La seule bonne nouvelle dans cette histoire, c’est que les identifiants enregistrés précédemment ne sont pas soumis à ce bug. Cela signifie qu’aujourd’hui, il n’est pas possible à cette application pirate d’accéder aux informations déjà enregistrées.
Coup dur pour l’image de la marque à la pomme, surtout avec son discours marketing : Nous ne connaissons pas les virus !