Une équipe de chercheurs a mis la main sur d’importantes failles dans le Trousseau d’OS X et iOS. Ce composant clé des deux systèmes est vulnérable à une attaque aboutissant à la capture des mots de passe de l’utilisateur. Apple a été avertie en octobre, mais la firme n’a pas bougé assez rapidement.
Une faille dans les communications avec le Trousseau
Apple est actuellement victime d’un sérieux problème de sécurité. Des chercheurs provenant de trois universités américaines (Indiana, Géorgie et Peking) ont averti la firme en octobre de l’exploitation possible d’une faille présente dans le Trousseau d’OS X, que l’on retrouve dans iOS. Les conséquences sont particulièrement graves et multiples, puisque l’équipe a pu créer un malware capable d’accomplir différents méfaits, dont le vol des mots de passe de l’utilisateur.
L’exploitation, et donc la méthode utilisée, a été nommée XARA par les chercheurs, pour « Cross-app Ressource Access ». Un nom qui reflète bien le mécanisme d’action : à travers la faille, un pirate peut attaquer le mécanisme de contrôle d’accès du Trousseau (qui repose sur le projet TrustBSD) et intercepter au passage les communications qui se font entre ce composant et les applications ou sites web qui y accèderaient. Étant donnée la place centrale du Trousseau dans les Mac et les appareils iOS, la faille est donc très sérieuse.
Un malware caché peut automatiser la récupération des mots de passe
Mais les chercheurs sont allés beaucoup plus loin dans leur volonté de prouver à quel point la situation était problématique. Ils ont créé un malware et l’ont caché dans une application qui a ensuite été soumise à validation sur l’App Store. Le processus s’est passé sans encombre et l’équipe a pu montrer qu’une fois en place, la fausse application pouvait s’attaquer à d’autres, notamment Chrome et Evernote, pour voler les mots de passe. Facebook, Twitter, iCloud, tout y passe, même les concentrateurs d’identifiants comme LastPass, Dashlane et 1Password.
En fait, la seule limitation à l’exploitation de la faille est qu’une fois le malware en place, il ne peut intercepter « que » les mots de passe transitant vers le Trousseau. Ceux qui y étaient déjà stockés ne peuvent pas être prélevés. Malheureusement, l’attaque XARA est utilisable dans des contextes assez variés, avec pour finalité la récupération d’informations identifiantes, par exemple en piratant les adresses que certaines applications utilisent entre elles pour communiquer. Les chercheurs ont ainsi pu utiliser des adresses « wunderlist:// » (qui communiquent des paramètres à l’application du même nom) pour récupérer le jeton de sécurité Google Single Sign On transmis depuis le navigateur.
La faille est d’autant plus grave qu’elle peut être exploitée à la fois sur les Mac et sur l’ensemble des appareils iOS, dès lors qu’il suffit qu’une application particulière soit installée. Le passage par l’App Store n’y change rien, et même la sandbox se révèle inutile : espace isolé ou non, la vulnérabilité réside dans la manière même qu’a une application de communiquer avec le Trousseau. Et c’est précisément de ce danger que les chercheurs ont averti Apple en octobre dernier, comme ils l'ont indiqué à The Register.
Apple n'a pas réagi assez vite
La firme a selon eux pris rapidement conscience de la situation mais a demandé à l’équipe de repousser un peu la publication des résultats, le travail nécessitant au moins six mois de travail selon elle. Malheureusement, les chercheurs ont observé le travail effectué sur la mise à jour 10.10.3 de Yosemite ainsi que sur la bêta de la 10.10.4, et s’ils ont remarqué que les travaux avaient bien commencé, les exploitations de la faille étaient toujours valables. Rien n’est dit cependant au sujet d’El Capitan, le nouvel OS X présenté à la WWDC.
Actuellement, les utilisateurs sont désarmés face à cette situation et ne peuvent rien faire, à part attendre qu’Apple corrige les fameuses vulnérabilités, comme l’ont indiqué les chercheurs à Ars Technica. Le seul conseil possible est de faire attention aux applications qui sont installées et de se contenter de celles à qui l’on peut faire « confiance ».
Enfin, selon les découvreurs de la vulnérabilité, ce problème ne pourrait être que le début d’une longue lignée. S’ils remarquent en effet qu’Android se comporte mieux face aux scénarios d’attaque XARA, il semble qu’aucun système ne soit intégralement protégé : « De telles découvertes, dont nous pensons qu’elles ne sont que la partie émergée de l’iceberg, vont certainement inspirer la suite des recherches sur d’autres risques de type XARA à travers les plateformes ».
