1Password sur Mac : une faille permet de voler vos mots de passe
Nadim Lefebvre- Il y a 1 mois
- 💬 Réagir
- 🔈 Écouter
Une vulnérabilité sérieuse a été découverte dans le gestionnaire de mots de passe 1Password sur Mac. Elle permet à des attaquants de dérober les identifiants stockés dans les coffres des utilisateurs, ainsi que la clé de déverrouillage du compte. La faille a été signalée par l'équipe de sécurité de Robinhood qui a alerté de manière "responsable" l'éditeur de 1Password donc, fort heureusement, elle n'a été exploitée.
Une faille exploitable par un malware local
La faille, identifiée sous le nom CVE-2024-42219, réside dans les versions de 1Password 8 pour Mac antérieures à la 8.10.36. Pour l'exploiter, un pirate doit exécuter un logiciel malveillant spécifiquement conçu pour cibler 1Password sur l'ordinateur de la victime.
Ce malware peut alors contourner les protections de communication inter-processus de macOS pour se faire passer pour une extension de navigateur 1Password de confiance. Il est alors en mesure d'exfiltrer le contenu des coffres 1Password, mais aussi d'obtenir la clé de déverrouillage du compte ainsi que d'autres éléments permettant de s'y connecter.
Pas d'exploitation détectée pour le moment
Heureusement, AgileBits, l'éditeur de 1Password, indique n'avoir reçu aucun signalement d'exploitation de cette vulnérabilité en dehors de sa découverte par l'équipe de sécurité de Robinhood. Cette dernière a prévenu de manière responsable 1Password après avoir mené un audit indépendant.
Cependant, maintenant que les détails de la faille sont publics, le risque qu'elle soit activement exploitée par des cybercriminels augmente fortement. Il est donc crucial de mettre à jour 1Password au plus vite.
Comment se protéger ?
La vulnérabilité a été corrigée dans la version 8.10.36 de 1Password pour Mac. Tous les utilisateurs sont donc invités à vérifier qu'ils disposent bien de cette version ou d'une plus récente.
Normalement, 1Password vérifie automatiquement la disponibilité des mises à jour 5 minutes après son ouverture, puis chaque jour. Une notification est affichée si une nouvelle version est disponible lorsque l'application est déverrouillée. Si elle est verrouillée, la mise à jour est installée automatiquement en arrière-plan.
Avec plusieurs millions d'utilisateurs particuliers et 150 000 entreprises clientes, 1Password est l'un des gestionnaires de mots de passe les plus populaires, en particulier sur Mac. Bien que le nombre exact d'utilisateurs vulnérables ne soit pas connu, ils se comptent probablement en centaines de milliers.
Si vous faites partie des utilisateurs de 1Password sur Mac, ne prenez pas de risque et vérifiez dès maintenant que vous avez bien appliqué le correctif de sécurité. Vos mots de passe vous remercieront !
Source
Télécharger l'app gratuite 1Password - Password Manager
Une faille dans Safari 15 permet de vous identifier et de vous traquer (màj)
Zoom : une faille permet l'activation de votre caméra sur macOS (MàJ)
