ToutSurTout.biz
Apple : Lion affiche des mots de passe en clair !


https://www.world-lolo.com/images/uploads/image.num1336392262.of.world-lolo.com.jpg



Avec la mise à jour de sécurité Mac OS X 10.7.3 (sortie le 1er février 2012), un fichier debug.log a été accidentellement activé, en dehors de la zone de cryptage de FileVault. En conséquence, les mots de passe de l'utilisateur sont stockés en clair.

L'erreur viendrait d'un développeur d'Apple qui aurait, vraisemblablement par accident, oublié un «drapeau» (debug flag) dans la version la plus récente de Mac OS X, ce qui fait que, sous certaines configurations, appliquer la dernière mise à jour (10.7.3) active un fichier de type debug.log qui contient les identifiants de tout utilisateur s'étant identifié après cette installation. Problème : les mots de passe y sont stockés en clair.

Comme le fichier est conservé en dehors de la zone chiffrée, toute personne ayant les droits d'administration sur la machine, ou un accès root, peut y accéder et le consulter. Le fichier peut également être récupéré par le biais d'un câble FireWire connecté au disque dur de l'ordinateur.

Les sauvegardes de la Time Machine sur les disques durs externes sont également à risque. Si le périphérique où elles sont stockées est volé, alors son nouveau propriétaire n'aura qu'à se servir : car même si les sauvegardes sont protégées par un mot de passe, celui-ci pourra être récupéré très facilement, puisque stocké en clair dans le fichier log sauvegardé sur le disque en question.

Le problème est donc très sérieux, en particulier dans les entreprises où ces mots de passe permettent d'avoir accès à des informations sensibles.

Correctif attendu.

La faille a été découverte par le chercheur en sécurité informatique David Emery et n'a toujours pas été corrigée. Elle concerne les utilisateurs du cryptage FileVault (les personnes l'utilisant avant Lion, et ayant ensuite upgradé vers Lion tout en conservant cette méthode de chiffrement de leurs fichiers sont concernées). En revanche, les utilisateurs de FileVault 2 ne courent aucun risque (puisque le disque entier est crypté).

Il serait temps, après trois mois, qu'Apple se décide à corriger le tir, d'autant qu'elle a été à plusieurs reprises alertée par des utilisateurs layant constaté le problème (comme on peut le lire sur divers forums). Des cybercriminels pourraient penser à développer des malwares spécifiques exploitant cette faille. La combler devient donc urgent.