High Sierra : une app serait capable de lire tous les mots de passe du trousseau en clair
Par Didier Pulicani - Publié le
Le trousseau de macOS est régulièrement pointé du doigt pour fournir un peu trop facilement les mots de passe stockés par le système.
Il y a notamment eu cette histoire de stockage dans le Cloud, mais aussi cette faille permettant d'accéder aux mots de passe d'une autre application, ou encore ce petite programme qui démontrait qu'avec un mot de passe administrateur fourni à une application, il était possible d'aller déchiffrer tous les mots de passe en clair.
Ce soir, juste pour la sortie de macOS High Sierra, Patrick Wardle déclare avoir réussi à lire le contenu intégral du trousseau (en clair) avec une application non-signée, et sans avoir les droits administrateur. Le chercheur -qui a travaillé pour la NSA- ne fournit toutefois aucun code ni preuve en dehors de la vidéo-ci-dessus. Il évoque tout de même la présence d'une
En attendant d'y voir plus clair (j'utilise volontairement le conditionnel), on imagine que certains administrateurs système vont attendre encore quelques semaines de plus avant de migrer tout leur parc de machines :-)
Il y a notamment eu cette histoire de stockage dans le Cloud, mais aussi cette faille permettant d'accéder aux mots de passe d'une autre application, ou encore ce petite programme qui démontrait qu'avec un mot de passe administrateur fourni à une application, il était possible d'aller déchiffrer tous les mots de passe en clair.
Ce soir, juste pour la sortie de macOS High Sierra, Patrick Wardle déclare avoir réussi à lire le contenu intégral du trousseau (en clair) avec une application non-signée, et sans avoir les droits administrateur. Le chercheur -qui a travaillé pour la NSA- ne fournit toutefois aucun code ni preuve en dehors de la vidéo-ci-dessus. Il évoque tout de même la présence d'une
faille, qu'Apple n'aurait pas encore corrigé.
En attendant d'y voir plus clair (j'utilise volontairement le conditionnel), on imagine que certains administrateurs système vont attendre encore quelques semaines de plus avant de migrer tout leur parc de machines :-)
