Un chercheur en sécurité a mis le doigt sur une faille du trousseau sur macOS. Dans une vidéo, il montre comment il est aisé d’avoir accès aux mots de passe enregistrés dans l’application Trousseau. 

Le chercheur en question, Linus Henze, n’en est pas à son premier coup d’essai. Il a déjà eu l’occasion de mettre en lumière des failles de sécurité chez Apple, notamment sur iOS. Des failles qui ont rapidement été comblées par les équipes de la Pomme. Cette fois-ci, il est de nouveau question d’une faille de sécurité qui se trouve dans le Trousseau d’accès de la version 10.14.2 de macOS Mojave.

Dans les faits, ce manque de vigilance permet de passer outre les systèmes de sécurité d’Apple, les SIP pour System Integrity Protection, d’un Mac sous Mojave. Plus encore, cette faille serait telle qu’il ne serait pas nécessaire d’avoir les privilèges administrateurs de la machine pour opérer, de quoi laisser le champ libre à des personnes mal intentionnées.

Pour les utilisateurs qui auraient rajouté un mot de passe supplémentaire pour pouvoir accéder au Trousseau d’accès, la faille ne fonctionnerait pas. Encore faut-il l’avoir configuré préalablement. Cette option oblige le système à demander fréquemment d’introduire ce mot de passe global afin d’avoir accès au Trousseau d’accès, un aspect qui peut paraître agaçant pour certaines personnes, mais bien utile dans ce cas-ci.

Si Linus Henze a l’habitude de partager ses trouvailles avec Apple afin de réparer les problèmes de sécurité, ce n’est pas le cas cette fois-ci. Le chercheur tient en quelque sorte en otage les informations concernant cette nouvelle faille pour faire pression sur Apple. En effet, l’homme serait encore très contrarié de ne pas avoir pu prétendre à la prime du programme “bug bounty” qui récompense les individus qui rapportent les bugs à la firme de Cupertino. Il invite également ses collègues à faire de même.

Reste à voir combien de temps il faudra à Apple pour identifier et combler cette faille.