Un chercheur allemand en sécurité, Linus Henze, a publié une vidéo montrant comment une application de son cru permet de pirater le Trousseau local de macOS, la version iCloud étant épargnée (en tout cas pour l’instant).
Henze, qui cherchait à attirer l’attention d’Apple – qui ne propose aucun programme bug bounty pour macOS – montre l’efficacité de son « KeySteal », sans fournir les détails techniques.
Deux précisions importantes quand même : l’application n’a pas besoin des droits administrateurs pour remplir sa mission et ne tient pas compte des éventuelles ACL (Access Control List). Elle peut donc extraire les informations locales sans requérir d’action utilisateur, rendant l’exploitation particulièrement dangereuse.
Selon le chercheur, l’utilisateur peut se rendre dans l’application Trousseau pour paramétrer un mot de passe supplémentaire d’accès. Problème, le Trousseau étant régulièrement utilisé, cela signifie une saisie très régulière dudit mot de passe. Une gêne à affronter jusqu’à la publication du correctif.
Pour l'instant, on ne sait pas si Apple est réellement au courant du problème. La firme n'a pas encore réagi.