Deux développeurs libanais ont découvert une faille de sécurité dans Keychain (trousseau d’accès), le gestionnaire de mots de passe de Mac OS X. En travaillant sur leur propre logiciel de gestion de mots de passe, MyKi, Antoine Vincent Jebara et Raja Rahbani se sont aperçus qu’en tapant quelques lignes de commande, il est possible d’accéder à toutes les informations stockées par Keychain, sans avoir besoin de rentrer le mot de passe principal. Seule une petite fenêtre s’affiche, qui demande à l’utilisateur de cliquer sur “autoriser”. Pour prouver leur trouvaille, les deux développeurs ont glissé un petit virus dans une image qu’il suffit d’ouvrir pour que les lignes de commandes s’exécutent et que la petite case “autoriser” soit cochée, le tout en moins d’un cinquième de seconde. Une fois les mots de passe récupérés, ils sont directement envoyés par SMS au pirate et l’utilisateur n’y voit que du feu. Même si l’attaque ne peut se faire que sur un Mac, les iPhone et les iPad peuvent également être impactés de manière indirecte si l’utilisateur a activé iCloud Keychain, le service de stockage des mots de passe dans iCloud. Les développeurs ont réalisé une petite vidéo qui montre le déroulement de l’attaque, mais n’ont pas révélé au grand public les lignes de commandes qui permettent d’accéder aux mots de passe. En revanche, ils ont transmis tous les détails à Apple pour que ses ingénieurs puissent apporter un correctif. « Apple a reconnu l’existence de la faille et nous travaillons ensemble pour y remédier », a affirmé Antoine Vincent Jebara au Commerce du Levant.