MacLockPick : un défaut de sécurité de Mac OS X ?

Je viens de tomber sur ceci : Un logiciel qui met le Mac à nu ! .

Évidemment, dans la niouze sensationnelle (sensationnaliste ?), ça se pose là. Et évidemment, on peut se demander comment un tel logiciel peut faire pour récuperer de telles informations, sans même qu’on s’en rende compte.

La réponse est simple : il s’appuie sur la fainéantise des utilisateurs.

Et avant qu’on me saute dessus violemment pour m’étriper, je vais expliquer un peu :-)

Le logiciel en question s’appuie sur une fonction très puissante de Mac OS X intitulée le trousseau d’accès. Les plus anciens d’entre vous se souviendront que j’avais pondu un dossier à ce sujet il y a déjà quelques années de ça. Une phrase-clé (normal pour un trousseau :-) ) de ce dossier était : « quand mon trousseau est ouvert à l’aide de son mot de passe, toutes les clefs disponibles sont accessibles sans condition supplémentaire. »

Pourquoi Apple a-t-elle implémenté le trousseau dans son système ? Pour ne plus avoir à se souvenir de tous les mots de passe, ou plutôt, pour ne plus avoir à les retaper systématiquement. Il est vrai que dans notre monde de plus en plus sécurisé, les mots de passe sont légions. Mon trousseau contient environ 900 mots de passe, et je ne suis pas sûr de me souvenir de tous.

Maintenant, le problème, c’est que par défaut, le trousseau est ouvert dès l’ouverture de session. Ce problème est exacerbé par le fait que la session du premier utilisateur créé est ouverte automatiquement sous Mac OS X (pas sous Mac OS X Server).

Pourquoi cela ? Parce que le but de Mac OS X est de rester simple et non rebutant pour la majorité des utilisateurs. Et en cela, la notion de trousseau est complexe pour les utilisateurs débutants, mais utile, car transparente. Peut-être trop d’ailleurs, j’y reviens plus loin.

Le trousseau est cependant un outil indispensable pour le Power User, qui a effectivement besoin d’accéder rapidement à ses données. Mais le Power User a aussi plus le sens de la sécurité informatique, car il travaille souvent avec des données sensibles. Il a alors pensé à améliorer la sécurité du trousseau à l’aide des méthodes suivantes :

– Il a créé plusieurs trousseaux pour scinder les informations entre les pas trop confidentielles, les Top Secret et les Secret Défense ;
– Il a configuré les réglages du trousseau pour qu’il soit verrouillé automatiquement au bout de xxx minutes, xxx étant relativement court (moins de 15 minutes), ou encore lors de la mise en veille ;
– Il a également mis sur son trousseau par défaut un mot de passe différent du mot de passe d’ouverture de session, pour éviter que le trousseau soit directement accessible quand on ouvre sa session ;
– Il n’a pas mis les mots de passe de ses images-disques sécurisées dans le trousseau, parce que faut pas exagérer quand même ;
– Et évidemment, son mot de passe de trousseau est plus proche de « XvH3kr4TpuYba?!2b » que de « toto ».

Donc, non, pas de faille de sécurité ici. MacLockPick, c’est bien indiqué, tire parti du fait que le trousseau reste ouvert même en sortie de veille par défaut : « MacLockPick takes advantage of the fact that the default state of the Apple Keychain is open, even if the system has been put to sleep. »

Il suffit donc de ne pas respecter les réglages par défaut pour contourner la pseudo-puissance de ce logiciel. Du coup, évidemment, ça demande à être un peu moins feignant. Mais la sécurité a toujours un prix : cette fois-ci, c’est celui d’un peu moins de fainéantise, pour un peu plus de vigilance.