La faille Rootpipe corrigée dans Yosemite 10.10.3, mais pas dans les autres OS X

En novembre dernier, nous évoquions dans nos colonnes la faille Rootpipe, présente dans au moins les trois dernières moutures d’OS X, dont Yosemite. La dernière révision majeure de ce dernier, estampillée 10.10.3, a bien refermé la faille. Malheureusement, elle reste ouverte sur les systèmes plus anciens.

Une faille dans une API non documentée

La faille Rootpipe a été nommée ainsi par celui qui l'a découverte, Emil Kvarnhammar, chercheur en sécurité chez Truesec. Il avait mis la main sur cette brèche à la mi-octobre et avait averti immédiatement Apple. Exploitée, elle permettait à un utilisateur de provoquer une escalade de privilèges, y compris depuis un compte utilisateur classique, afin d’obtenir des droits de type root.

Mais contrairement au mois de novembre dernier, les détails de la faille sont maintenant connus. C’est notamment le cas pour son exploitation, qui peut donc se faire depuis un compte classique. Une différence marquante avec les informations publiées il y a quelques mois, quand le conseil donné était juste d’éviter les comptes administrateurs, ce qu’OS X crée toujours pour le premier utilisateur d’une machine après son installation.

La faille est relative à ce qui ressemble à une API (Application Programing Interface) non documentée, mais qu’Emil Kvarnhammar n’hésite pas à décrire comme une porte dérobée cachée dans le code. Dans un billet publié hier, il revient sur la fameuse faille, indiquant que l’API en question est présente depuis au moins 2011 dans OS X et a probablement été créée pour être utilisée par les Paramètres Système. Techniquement, tant que la faille n’est pas colmatée, elle peut être utilisée par n’importe quel processus utilisateur.

La seule solution ? Migrer vers Yosemite 10.10.3

Le chercheur pensait initialement qu’il fallait avoir un accès physique à la machine pour exploiter Rootpipe, mais les derniers mois lui ont fait changer d’avis. Il s’est « amusé » avec la brèche en cherchant notamment à en profiter depuis une machine distante. D’une part, il s’est aperçu qu’en combinant Rootpipe avec d’autres failles, il était possible de déclencher l’escalade des privilèges depuis un compte classique. D’autre part, avec un pirate connaissant le moyen de sortir de la sandbox d’un navigateur, la faille devient même exploitable via un site spécialement conçu.

Le problème est corrigé avec la grosse mise à jour 10.10.3 publiée mercredi soir par Apple. Le problème est que toutes les autres versions d’OS X restent vulnérables et la firme ne communique pas sur le sujet auprès des utilisateurs. La seule recommandation possible est alors de migrer vers Yosemite et d’installer la dernière mise à jour. Mais tout le monde ne le peut pas, soit parce que le Mac est un peu ancien, soit tout simplement parce qu’ils ne veulent ou peuvent pas migrer dans l’immédiat. Yosemite a en effet une réputation légèrement ternie à cause de certains ralentissements et bugs divers.

D’un côté, on peut donc estimer qu’Apple aurait dû faire le travail de correction pour ses autres systèmes. On peut d’autant plus s’en étonner que chaque nouvelle mise à jour majeure s’accompagne généralement de correctifs pour les OS X plus anciens mais encore supportés. De l’autre côté, comme indiqué par Emil Kvarnhammar, cette modification aurait représenté pour Apple une somme importante de travail, la firme précisant alors qu’elle ne serait pas répercutée sur les versions antérieures.