Une vilaine faille a été détectée dans macOS High Sierra, le nouveau système d’exploitation pour Mac qu’Apple propose en version finale depuis quelques heures seulement.

Patrick Wardle, un chercheur en sécurité qui a travaillé pour la NSA auparavant, a trouvé un moyen qui permet de récupérer les mots de passe stockés dans Trousseau d’accès. Ce trousseau recense tous les mots de passe entrés par l’utilisateur pour qu’il n’ait pas besoin de les retenir. Cela concerne notamment les mots de passe que l’on rentre sur Safari pour se connecter sur Facebook, Google ou n’importe quel autre site.

Le chercheur en sécurité montre qu’une application non signée, téléchargée depuis le Web peut exploiter une faille pour afficher les identifiants et mots de passe rattachés. Le problème est que cet accès requiert normalement le mot de passe de la session de l’utilisateur. Or, l’application contourne cette vérification et obtient tous les identifiants en clair. La vidéo ci-dessous est une démonstration.

La faille a été détectée dans macOS High Sierra, mais il se pourrait qu’elle soit aussi exploitable dans les versions précédentes de macOS. Concernant la faille à proprement parler, le chercheur en sécurité ne semble pas l’avoir rendue publique. Il pense qu’Apple la bouchera avec une future mise à jour. En attendant, ne téléchargez pas tout et n’importe quoi sur Internet ou dans les pièces jointes des emails.

Mise à jour Le chercheur en sécurité a indiqué que la faille concerne aussi les précédentes versions de macOS et pas seulement macOS High Sierra. Il ajoute qu’Apple a été prévenu, mais n’a malheureusement pas corrigé le tir pour l’instant.