Apple : plusieurs failles dans le trousseau de mots de passe iOS et OSX
Des chercheurs en sécurité informatique ont réussi à exploiter une faille dans le gestionnaire de mots de passe d’Apple grâce à une application contenant un code malveillant, et validée par l’App Store. Cette faille permet de récupérer notamment les mots de passe.
Sur la scène high-tech, il semble que ce soit chacun son tour en ce qui concerne les affaires de piratages ! En effet, alors que les Samsung Galaxy se débattent contre une faille de sécurité frappant le clavier alternatif Swiftkey, c’est au tour d’Apple de devoir faire face à un piratage en règle avec une vulnérabilité découverte dans le gestionnaire de mots de passe des systèmes d’exploitation desktop et mobile de la marque à la pomme.
Nouveau scandale de piratage pour Apple
La faille a été découverte par six chercheurs en sécurité informatique venus des universités de l’Indiana, Georgia Tech et Peking. Via un article-fleuve de 13 pages, les experts en sécurité expliquent comment ils sont parvenus à subtiliser les mots de passe stockés dans le gestionnaire de passwords d’Apple.
Ces derniers ont tout d’abord publié une application vérolée sur l’App Store d’Apple qui a réussi à passer entre les mailles du filet du système de vérification d’appli de la firme de Cupertino. Une fois qu’un utilisateur téléchargeait l’application en question, le poisson était ferré.
De nombreuses applications vulnérables
Le code malveillant permettait à l’appli passer outre le mode de sandboxing et permettait aux hackers de s’infiltrer au sein du gestionnaire de mots de passe. Le « Trousseau » d’Apple n’est pas la seule application dans laquelle les chercheurs en sécurité pouvaient subtiliser des données puisque des services populaires comme Facebook, Twitter, 1Password sont concernés. Au total, 88,6 % des applications testées par les chercheurs (1 612 sur OS X et 200 sur iOS) étaient vulnérables.
À la découverte de cette faille, il y a environ 6 mois, les experts ont tout de suite prévenu Apple. Mais la firme de Cupertino n’a toujours pas réglé le problème et les universitaires avaient donc tout loisir de la dévoiler au grand public. Plus que jamais, restez méfiant lorsque vous téléchargez une application qui vous semble douteuse, même si cette dernière a été validée par l’App Store.