Une faille de sécurité assez dérangeante existe sur Mac. Linuz Henze, un chercheur en sécurité, montre qu’il est possible de récupérer tous les mots de passe enregistrés au sein du trousseau d’accès de macOS, même sur macOS Mojave. Normalement, il faut entrer le mot de passe de la session de l’utilisateur du Mac pour que ceux enregistrés apparaissent.

Dans sa vidéo de démonstration, Linuz Henze montre le trousseau d’accès qui comprend plusieurs mots de passe. Il ouvre ensuite une application qui a pour nom KeySteal et qui exploite une faille de sécurité pour récupérer la totalité des identifiants. Le processus prend quelques secondes seulement. Il se charge ensuite d’entrer le mot de passe de sa session dans le trousseau d’accès pour prouver que les mots de passe récupérés correspondent à ceux enregistrés dans le trousseau d’accès.

Le chercheur n’a pas rendu publique la faille de sécurité, des hackers mal intentionnés ne peuvent par conséquent pas l’exploiter. Mais il y a un autre acteur qui ne peut pas la corriger : Apple. En effet, le chercheur critique le fait qu’Apple propose un programme de récompense (bug bounty) pour iOS mais pas pour macOS. Par conséquent, partager sa faille de sécurité avec Apple ne lui rapporterait pas d’argent.

En attendant, les utilisateurs peuvent ajouter une couche de sécurité en ouvrant le trousseau d’accès, en faisant un clic droit sur « session » et en choisissant « Verrouiller le trousseau ». Dans ce cas, il faudra entrer son mot de passe à plusieurs reprises tout au long de la journée selon ce que l’on fait.