Une faille de sécurité dans FileVault
Une faille de sécurité est apparue au sein de FileVault, le système de cryptage des données de Mac OS X. Depuis la mise à jour 10.7.3, les mots de passe (normalement cryptés) sont visibles en texte brut : effectivement, il y a comme un hic ! Découvert dès février mais repris ces derniers jours par un consultant en sécurité, ce trou commence à sérieusement interpeller car quiconque sait où regarder dans un Mac peut avoir accès à tous les mots de passe de l’utilisateur – du moins, ceux inscrits dans la base de données depuis le 1er février si on a effectué la mise à jour 10.7.3 dès sa mise en ligne.
Depuis la (re)découverte de cette faille, le premier découvreur a pu constater qu’elle ne frappait pas que FileVault, mais que VMware Fusion pouvait également être vulnérable. Il est donc grand temps qu’Apple s’attaque au problème.
On ignore le nombre d’utilisateurs Mac frappés par ce trou, qui suit le cheval de Troie Flashback – Apple avait là aussi mis un certain temps avant de réagir. Une solution préconisée par Sophos est de passer à une solution «Chiffrement complet du disque», une fonction fournie par FileVault 2.
