Yosemite, ainsi que plusieurs versions précédentes du système d’exploitation d’Apple, est affecté par une faille permettant une élévation des privilèges par escalade. Le découvreur de la brèche a fait part de sa trouvaille il y a plusieurs semaines, mais il faudra attendre janvier prochain pour un correctif.
La faille touche au minimum Yosemite, Mavericks et Mountain Lion
Emil Kvarnhammar, chercheur en sécurité chez Truesec, a indiqué il y a un peu plus de deux semaines avoir découvert une importante faille de sécurité au sein de Yosemite. Exploitée, elle permettrait à un pirate d’obtenir les droits « root » sur la machine via une escalade des privilèges. Le Suédois a d’ailleurs publié une vidéo pour montrer que l’exploitation était tout à fait possible, et pas seulement dans Yosemite.
Le dernier OS X est en effet concerné, mais il est possible, comme il l’a indiqué, que la faille soit en fait beaucoup plus ancienne. Elle est présente sur les deux versions précédentes du système, Mountain Lion et Mavericks, mais le chercheur ajoute qu’elle existait encore sûrement avant, probablement même sur Snow Leopard qui reste un système encore utilisé (parce que certains Mac ne peuvent en fait pas aller plus loin).
Kvarnhammar explique qu’Apple a été immédiatement informé de l’existence de la faille, nommée « rootpipe » et que si elle n’a d’abord par répondu, elle a ensuite réclamé de plus amples détails. La firme a demandé au chercheur de garder les détails pour lui jusqu’en janvier 2015, période supposée où un patch correcteur devrait donc être disponible. Ce genre de pratique est courant et assure que la faille n’est pas largement exploitée avant que la solution ne soit prête. Par exemple, dans ses bulletins mensuels de sécurité, Microsoft précise si chaque mise à jour colmate une brèche dont les détails ont été tenus secrets ou non.
Utiliser un compte standard et chiffrer son disque dur
Le chercheur garde donc les détails pour lui, et on ne sait même pas pour l’instant si la faille peut être exploitée ou non à distance et si elle est critique. Il a cependant indiqué à MacWorld qu’il existe deux moyens d’atténuer le risque de subir une attaque. Premièrement, activer FileVault, la solution de chiffrement intégral des données fournies par Apple avec OS X. L’assistant de paramétrage de Yosemite enjoint d’ailleurs l’utilisateur à le faire (pour la première fois dans l’histoire du système).
Details on the #rootpipe exploit will be presented, but not now. Let's just give Apple some time to roll out a patch to affected users.
— Emil Kvarnhammar (@emilkvarnhammar) 16 Octobre 2014
Deuxièmement, se servir d’un compte standard pour son activité quotidienne et pas d’un compte administrateur. En effet, la seule information à peu près technique sur la faille est qu’elle permet de contourner une protection réclamant le mot de passe système lorsque la commande « sudo » est invoquée. Cette commande est héritée pour rappel du monde Unix et est intégrée dans de nombreuses distributions Linux, notamment Ubuntu, pour accorder temporairement des droits supérieurs à un utilisateur.
Les détails complets de la faille root pipe ne seront donc publiés qu’au mois de janvier prochain, quand le correctif d’Apple sera prêt. D’ici là, il faut simplement espérer qu’elle ne sera pas exploitée, en particulier dans le cas où l’action peut se faire à distance.
