Alors que la grande majorité des failles de sécurité explorées avec OS X proviennent d’applications tierces (allo Adobe Flash et Java), on découvre à maintes reprises une défaillance du système lui-même, au grand dam de ceux qui sont fans de la plateforme. Un de ces défauts est apparu le week-end dernier et il est très grave : il enregistre le login et le mot de passe des utilisateurs dans un fichier texte, totalement non protégé.
La vulnérabilité est limitée à certaines configurations spécifiques et a été signalée au début de ce mois par le chercheur en sécurité David Emery sur la liste Cryptome. Selon lui, avec la mise à niveau 10.7.3 vers OS X, Apple a activé un journal de débogage à l’échelle du système, qui, pour une raison quelconque, écrit en texte clair le login et le mot de passe des utilisateurs dans le journal lui-même. Les gens de ZDNet ont découvert qu’un utilisateur d’Apple avait déjà signalé cette erreur dans le forum de l’entreprise il y a plusieurs mois.
Il semble que la vulnérabilité touche les systèmes où l’utilisateur a utilisé le cryptage FileVault sur son disque dur avant de passer à OS X Lion, mis à niveau vers OS X Lion, et n’utilise pas FileVault 2. Dans ces paramètres, les fichiers protégés ne sont pas aussi protégés.
Le pire est à venir : ce journal se trouve dans une zone non protégée accessible à toute personne disposant d’un login Mac. Ou pire encore, en se connectant au disque dur de votre Mac via Firewire. Le journal n’est conservé que quelques semaines, de sorte que toute personne ayant effectué une mise à jour au moment de la publication de la mise à jour 10.7.3 a probablement plus de mots de passe stockés que toute personne ayant effectué une mise à jour hier.
Maintenant qu’une grande partie du monde sait que cette faille existe, Apple va très probablement publier un correctif de sécurité pour combler le trou. Ce qui ne devrait pas être là en premier lieu.
