macOS fête la sortie de High Sierra avec une faille de sécurité... pas si critique

Patrick Wardle a publié sur Twitter une vulnérabilité présente dans macOS 10.12 Sierra et 10.13 High Sierra permettant d’obtenir les mots de passe stockés dans Keychain, le programme utilisé par le système d’exploitation. Comme le montre la vidéo ci-dessus, tous les mots de passe ne sont pas stockés en texte brut, mais ceux utilisés pour accéder à des sites Internet ne sont malheureusement pas chiffrés. On ne sait pas si le chercheur a contacté Apple avant de publier la vidéo, la firme ayant déployé la version définitive de High Sierra hier.

Une portée limitée

Il est impératif de prendre un peu de recul. La faille demande de télécharger un logiciel malveillant, et de forcer son lancement en désactivant les mesures de protection bloquant son exécution par le système d’exploitation. De plus, M. Wardle n’a pas publié la totalité du code source de son proof-of-concept et aucune attaque de ce genre n’a pour l’instant été rapportée. Bref, la vulnérabilité est importante, mais sa portée reste minime. Apple n’a pas encore commenté la situation, mais la nouvelle entâche tout de même la sortie de son nouveau système d’exploitation.